你的網(wǎng)絡安全嗎?在回答這個問題時，無論企業(yè)還是個人，無論是否裝備了防火墻或是部署了殺軟，恐怕都不敢直言安全。正所謂，未知的才是最可怕的。網(wǎng)絡威脅似乎隨時能夠?qū)⑷藗儤嫿ǖ陌踩谰€給吞噬掉。而對于企業(yè)網(wǎng)絡來說，要想獲得“終極”安全，零信任理念必須要建立起來了。

[[241126]]

傳統(tǒng)的安全模型過時了

當前，不少企業(yè)的網(wǎng)絡防護依舊沿用過時的傳統(tǒng)安全模型，在此種模型下，企業(yè)常常只會圍繞數(shù)據(jù)中心在周圍構建“護城河”來保護其數(shù)據(jù)資產(chǎn)。可是伴隨辦公移動化遷移，企業(yè)分支、遠程辦公、云端辦公的需求越來越多，涉及安全的資產(chǎn)變得比以前更為分散，而防護邊界也日益模糊。

而且對于傳統(tǒng)安全模型來說，往往會假設企業(yè)內(nèi)部的所有行為都是可以信任的，即便部署有防火墻、入侵檢測、DDoS防護等設備，也是針對網(wǎng)絡邊界進行的防護。這就導致一旦攻擊來自企業(yè)內(nèi)部，網(wǎng)絡防護就變得形同虛設。

此外，當下的網(wǎng)絡攻擊不僅從外向內(nèi)展開，而且很可能發(fā)起橫向攻擊，如內(nèi)部某個網(wǎng)絡節(jié)點遭受破壞，攻擊者便可在系統(tǒng)之間隨意跳躍攻擊。因此，鑒于網(wǎng)絡攻擊的日益復雜以及內(nèi)部威脅的大量增加，現(xiàn)在非常有必要采取一些可有效阻斷攻擊在內(nèi)部傳播路徑的安全措施了。

零信任成驗證關鍵

對于上述情況，相信只有基于零信任的安全理念才能進一步為企業(yè)網(wǎng)絡防護加固。那么，零信任的安全理念是什么樣子的?可以說，零信任是根植于“永不信任，始終驗證”原則上，通過基于用戶、數(shù)據(jù)和位置的微細分與顆粒度進行劃分，并聯(lián)合周邊安全設備共同執(zhí)行防護檢測與過濾，達到解決網(wǎng)絡內(nèi)橫向威脅的移動。

為何要強調(diào)防止攻擊的橫向移動?這是由于攻擊的滲透點通常不是目標位置，而阻止橫向移動在內(nèi)網(wǎng)中的作用就相當關鍵了。比如，當攻擊者滲透端點設備成功后，還需要在整個環(huán)境中橫向移動，才能到達目標資產(chǎn)所在的數(shù)據(jù)中心;或者，利用網(wǎng)絡釣魚獲得了準入憑證后，仍需要在對應數(shù)據(jù)庫通過身份驗證，才能以達到攻擊者想尋求并提取數(shù)據(jù)的位置一樣。

其中還涉及到如何確定用戶身份，以及能否設置適當?shù)脑L問權限等問題。例如，在大多數(shù)企業(yè)里，市場營銷人員可以訪問包含營銷內(nèi)容、客戶信息和相關數(shù)據(jù)庫，但無法訪問財務文件或數(shù)據(jù);財務人員則可以訪問與財務相關的數(shù)據(jù)庫，但不能訪問人力資源信息等等。因此，確定用戶是誰，以及他們可以訪問哪些應用程序，做哪些操作，可是判定相應會話是否合規(guī)的重要一步。如果這些交互點或檢查點不到位，又怎能有效識別驗證并阻止入侵行為呢?

如何實現(xiàn)零信任架構

為了構建企業(yè)網(wǎng)絡的零信任架構，較為現(xiàn)實的方法是將現(xiàn)有的基礎設施統(tǒng)統(tǒng)考慮在內(nèi)，并圍繞敏感數(shù)據(jù)資產(chǎn)創(chuàng)建最小的防護邊界。無論是服務器、終端筆記本電腦，還是應用程序，將網(wǎng)絡扁平化、不受信任系統(tǒng)最小化。

最初可以使用VLAN(虛擬局域網(wǎng))等傳統(tǒng)設置來創(chuàng)建小邊界，即便它們維護起來很麻煩。然后，再實施高級網(wǎng)絡分段，并采用最低權限的訪問策略并嚴格執(zhí)行訪問控制。這樣做，企業(yè)就可以顯著減少惡意軟件的傳播路徑。

而要做到“始終驗證”，則意味著要檢查并記錄所有流量。為了有效地做到這一點，可以確定適當?shù)慕换ス?jié)點來方便檢查。例如，基于業(yè)務策略的安全規(guī)則應該用于識別、允許或拒絕通過防護邊界“檢查點”的流量和活動，包括對敏感資源進行分段，建立信任邊界，以防止敏感數(shù)據(jù)泄漏等操作。

此外，添加更多身份驗證方法來防止基于憑證的攻擊，升級安全設備，培訓人員安全意識等等都是打造零信任架構中的重要環(huán)節(jié)。

可以預見

在抵御現(xiàn)代網(wǎng)絡威脅，防止敏感數(shù)據(jù)泄露的攻防博弈面前，敵我雙方此消彼長的態(tài)勢在所難免。不過以零信任為目標的防護策略顯然是永不會過時的，即便短期內(nèi)多數(shù)企業(yè)還并不容易將其實現(xiàn)，但毋庸置疑的是，安全零信任時代已然到來。