傳統(tǒng)安全機制假定網絡內的身份和設備可以被信任，而零信任安全模型則是基于：默認情況下任何內部或外部用戶或設備都不可信任。

這種零信任概念由Forrester Research于2010年首次提出。在谷歌和思科部署零信任概念之后，這種身份驗證和授權方法開始逐漸普及。

零信任是身份和訪問管理(IAM)中的關鍵概念，其結構旨在限制黑客對企業(yè)網絡的訪問。

[[281780]]

愛爾蘭厄爾斯特大學電氣與電子工程師協(xié)會(IEEE)高級成員兼網絡安全教授Kevin Curran說：“對零信任安全模型的需求之所以出現，部分原因在于企業(yè)不再傾向于在內部托管數據，而是通過各種平臺和服務來托管數據，這些平臺和服務駐留在企業(yè)內部和外部，并且大量員工和合作伙伴從不同地理位置通過各種設備來訪問應用程序。”

Curran稱，簡而言之，“傳統(tǒng)的安全模型已不再適用”。

在本文中，Curran解釋了企業(yè)如何開始部署零信任模型，并探討零信任安全框架相關的挑戰(zhàn)。

企業(yè)應該如何創(chuàng)建和更新零信任安全框架?

Kevin Curran：為了使零信任安全有效，這里需要新的方法，例如基于用戶和位置進行網絡分段或微分段。零信任要求部署身份和訪問管理、下一代防火墻、業(yè)務流程編排、多因素身份驗證(MFA)和文件系統(tǒng)權限。

企業(yè)可通過以下方式部署零信任安全框架：

• 更新網絡安全策略。應定期檢查和審核安全策略中是否存在漏洞，并進行測試。
• 驗證每個登陸到網絡的設備。這通過強大的身份驗證機制強制執(zhí)行，對每個用戶采用最小特權原則也很重要。
• 部署網絡分段。各種網絡、外圍和微分段將幫助保護網絡。
• 多因素身份驗證。在身份驗證中，每個用戶都必須額外的身份驗證步驟。
• 定期檢查用戶訪問權限。這可防止受驗證用戶中出現授權過期的情況。

零信任安全模型有哪些挑戰(zhàn)?

Curran：這種零信任安全框架依賴于強大的管理流程，以保護企業(yè)IT環(huán)境的安全-這里存在很多挑戰(zhàn)，因為在很多情況下，這迫使企業(yè)在整個企業(yè)中強制部署新流程，而這絕非易事。

另一個挑戰(zhàn)是，員工可能不會好心地承擔訪問計算機的額外負擔，以及最低特權原則所強制的降低的訪問級別。

這里需要企業(yè)改變員工思維定勢，特別是對于經驗豐富的員工。這里還需要在安全方面進行體制改革，同時需要在技​​術領域付出很多努力，例如推出微分段，這要求重新配置IP數據以確保在日常環(huán)境中不會出現中斷。這就是從一開始就應該讓CISO、CIO和高級管理層參與進來以確保成功的原因。