Zero Trust模型首次由ForresterResearch于2010年與美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)合作推出,雖然成為今年的關(guān)注焦點(diǎn)但卻不是一個(gè)新概念。零信任模型不是使用“信任驗(yàn)證”的傳統(tǒng)指導(dǎo)方法,而是將“永不信任,始終驗(yàn)證”作為其指導(dǎo)原則。零信任模型基于以下三個(gè)支柱:
確保所有資源安全地訪問,無論處在任何位置(換句話說,不再有受信任區(qū)域)。
應(yīng)用最小權(quán)限策略,并嚴(yán)格執(zhí)行訪問控制。在Zero Trust中,所有用戶最初都是不受信任的。
檢查所有流量并記錄。即使源自LAN的流量也被認(rèn)為是可疑的,并且被記錄和分析,就像它來自WAN一樣對(duì)待。
零信任的行業(yè)動(dòng)力
零信任模型自成功推出以來,零信任及其概念的優(yōu)勢(shì)已經(jīng)悄然發(fā)生了重大變化。如今,很多企業(yè)組織正在使用Zero Trust來推動(dòng)安全戰(zhàn)略計(jì)劃,并通過檢測(cè)和響應(yīng)使業(yè)務(wù)決策者和IT領(lǐng)導(dǎo)者能夠?qū)嵤﹦?wù)實(shí)的預(yù)防措施。
零信任如今是網(wǎng)絡(luò)安全行業(yè)的熱門話題,許多思想領(lǐng)袖都站出來使用它來定位和推銷他們的產(chǎn)品,是指導(dǎo)他們?cè)O(shè)計(jì)產(chǎn)品的未來路線圖。最近幾項(xiàng)并購(gòu)交易甚至受到零信任概念影響,將該功能納入收購(gòu)方技術(shù)組合的愿望(例如,思科以23.5億美元收購(gòu)Duo Security,Okta 收購(gòu)ScaleFT)。雖然非所有的安全分析公司都使用相同的Zero Trust命名法,但包括Gartner(推廣CARTA術(shù)語(yǔ),適應(yīng)性,風(fēng)險(xiǎn)和信任評(píng)估)大多數(shù),451研究機(jī)構(gòu)和KuppingerCole都采用零信任方法來解決當(dāng)今的威脅問題。
此外,Zero Trust已經(jīng)從一個(gè)概念發(fā)展成為越來越多的企業(yè)和政府機(jī)構(gòu)正在使用的安全框架。根據(jù)IDG 2018年安全優(yōu)先事項(xiàng)調(diào)查顯示,71%的以安全為中心的IT決策者都了解零信任模型,已有8%的人在其組織中積極使用它,10%的人開始試用它。
零信任之路始于身份
實(shí)施Zero Trust不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)(如Google執(zhí)行的架構(gòu))進(jìn)行全面的重新設(shè)計(jì),可以通過逐步修改當(dāng)前的基礎(chǔ)設(shè)施來實(shí)現(xiàn)。從技術(shù)角度來看,Zero Trust框架包含旨在保護(hù)網(wǎng)絡(luò)、數(shù)據(jù)、工作負(fù)載、人員/工作人員和設(shè)備的各種組件,同時(shí)提供對(duì)安全威脅的可見性、自動(dòng)化和協(xié)調(diào)修復(fù)以及通過API進(jìn)行互連。
一個(gè)驅(qū)動(dòng)原則應(yīng)該是網(wǎng)絡(luò)攻擊者訪問敏感數(shù)據(jù)的最簡(jiǎn)單方法是破壞用戶的身份。事實(shí)上,根據(jù)Forrester Research的調(diào)查數(shù)據(jù),80%的安全漏洞涉及特權(quán)憑證。Gartner表示,65%的企業(yè)存在允許不受限制、不受監(jiān)控和共享使用特權(quán)帳戶等問題。
在組織開始實(shí)施以身份為中心的安全措施之前,帳戶泄密攻擊將繼續(xù)為數(shù)據(jù)泄露提供完美的偽裝。對(duì)于大多數(shù)組織而言,Zero Trust的路徑應(yīng)該從身份開始。實(shí)際上,Gartner建議將Privileged Access Management放在組織的安全項(xiàng)目列表之上。承認(rèn)網(wǎng)絡(luò)中已存在不受信任的參與者,涉及基于授予最小特權(quán)訪問權(quán)限而轉(zhuǎn)向安全模型。此零信任權(quán)限方法實(shí)現(xiàn)以下元素:
驗(yàn)證用戶是誰(shuí)
將特權(quán)訪問請(qǐng)求上下文化
建立安全管理環(huán)境
授予最低權(quán)限
審核一切
應(yīng)用自適應(yīng)安全控件
最終,Zero Trust挑戰(zhàn)并消除了傳統(tǒng)安全措施中固有的信任假設(shè),這些措施使組織容易受到外部和內(nèi)部攻擊。由于特權(quán)訪問濫用是當(dāng)今漏洞的首要因素,考慮零信任模型的組織應(yīng)該通過投資身份相關(guān)技術(shù)開始他們的零信任網(wǎng)絡(luò)安全旅程。