作者│Michael Usiagwu

　　譯者│夏東威

　　最近幾年，網(wǎng)絡攻擊的嚴重性和復雜性有所增加，這可能只是網(wǎng)絡安全的一個重要轉折點，盡管姍姍來遲。安全從業(yè)者關于企業(yè)和組織使用零信任等技術保護云技術的呼聲從未如此之高，也不難看出原因。

　您的云系統(tǒng)中是否已經(jīng)出現(xiàn)漏洞？

　　零信任不是隱式信任用戶或設備，而是默認情況下假設已經(jīng)發(fā)生了違規(guī)行為，并且?guī)粢驯恍孤?；然后，在允許用戶訪問企業(yè)網(wǎng)絡、應用程序和工具之前，它會對用戶進行嚴格、持續(xù)的測試，以證明其身份。這對于防范基于身份和訪問的安全風險非常重要。

　強調(diào)基于身份的安全

　　零信任技術安全模型消除了對用戶身份驗證和驗證過程的信任，并強調(diào)基于身份的安全性，尤其是周圍環(huán)境的安全性。

　認證

　　這與不那么現(xiàn)代、更傳統(tǒng)的身份驗證方式形成了鮮明對比，在這種方式中，人、設備和網(wǎng)絡享有固有的信任。零信任技術確保網(wǎng)絡上試圖訪問的每個設備都通過驗證獲得信任。

　　隨著面向私人和公共部門面臨的網(wǎng)絡威脅越來越持久，保護它們的安全技術至關重要，甚至更好，甚至比網(wǎng)絡攻擊所使用的技術還要領先一步。這對于完全防止網(wǎng)絡攻擊至關重要，因為網(wǎng)絡攻擊的負面影響有時太可怕，企業(yè)無法從中恢復。

　云安全的雨天

　　根據(jù)2021泰勒斯全球云（Thales Global Cloud）安全研究，五分之一（21%）的企業(yè)在云端擁有他們大部分的敏感數(shù)據(jù)。然而，云中的敏感數(shù)據(jù)一旦出現(xiàn)就變得非常令人望而生畏。

　　你會發(fā)現(xiàn)，40%的受訪企業(yè)在去年報告了漏洞，而只有17%的受訪企業(yè)對他們存儲在云中的一半以上的數(shù)據(jù)進行了加密。

　　然而，在這些受訪企業(yè)采用了多云方法的情況下，這些對數(shù)據(jù)進行加密的企業(yè)數(shù)字下降到了15%。

　遠程工作者和云呢？

　　此外，隨著越來越多的員工在家中舒適地遠程工作，組織和企業(yè)意識到，他們的安全參數(shù)和技術必須擴展到企業(yè)周邊領域。

　　企業(yè)還必須滿足員工遠程訪問公司網(wǎng)絡、數(shù)據(jù)和資源的日益增長的需求。這意味著傳統(tǒng)的遺留用戶身份驗證和訪問控制變得不充分——因為它們無法保證云技術的安全，也無法防止未經(jīng)授權的使用。

　云計算和企業(yè)數(shù)據(jù)存儲

　　云計算提供了許多好處，因此被組織和企業(yè)廣泛用于互聯(lián)網(wǎng)上的數(shù)據(jù)存儲和管理。隨著技術的進步，企業(yè)在云計算機和服務器上存儲的數(shù)據(jù)量急劇增加。

　　因此，保護云基礎設施免受由于采用多個基于云的應用程序、服務和解決方案而可能形成的潛在威脅至關重要。

　云基礎設施和未經(jīng)授權的數(shù)據(jù)訪問

　　組織的云基礎設施面臨的重大風險是未經(jīng)授權訪問數(shù)據(jù)和數(shù)據(jù)泄露。

　　根據(jù)云安全聚焦報告，55%的受訪者認為，通過不當訪問控制和濫用員工憑據(jù)進行的未經(jīng)授權訪問是最大的云安全威脅之一。

　　黑客、有惡意意圖的內(nèi)部人員，甚至在某些情況下，第三方供應商，可能會獲得對企業(yè)數(shù)據(jù)、網(wǎng)絡、端點、設備或應用程序的訪問權。

　未經(jīng)授權訪問數(shù)據(jù)

　　未經(jīng)授權訪問數(shù)據(jù)以及隨之而來的數(shù)據(jù)泄露可能會對組織造成毀滅性影響；財務的影響、對公司聲譽的不可逆轉的損害、監(jiān)管影響導致的財務困境、法律責任、事故響應成本，以及市場價值下降。

　　實施云安全系統(tǒng)對于保護企業(yè)資源和云基礎設施至關重要。

　　企業(yè)應該利用零信任的技術優(yōu)勢和安全進步來提高用戶和應用程序的可視性，防止甚至消除基于身份的網(wǎng)絡攻擊。

　零信任云安全——風暴過后的平靜

　　零信任并不是指涉及用戶身份、遠程用戶訪問或網(wǎng)絡分割的單一技術。相反，它是網(wǎng)絡防御背后的底層技術向更全面的It安全模型的轉變，該模型允許組織在不犧牲性能和用戶體驗的情況下限制對網(wǎng)絡、應用程序和環(huán)境的訪問控制。

　　零信任是一種網(wǎng)絡安全戰(zhàn)略或框架，其中必須建立安全的網(wǎng)絡和云基礎設施，以確保最大程度的安全。

　　它通過用戶身份驗證、驗證和訪問管理來保護云技術。不幸的是，今天的云環(huán)境可能是充滿敵意的地方，托管關鍵業(yè)務和敏感數(shù)據(jù)，使它們成為黑客網(wǎng)絡攻擊的主要目標，黑客意圖竊取、破壞或劫持敏感數(shù)據(jù)作為贖金。

　政府機構要求采用零信任安全模式

　　對基于零信任的安全技術的支持來自安全從業(yè)者和政府機構。例如，拜登總統(tǒng)簽署了2021年5月12日零信任執(zhí)行令，要求所有美國政府機構都基于其安全系統(tǒng)中的零信任安全模型，包括多因素認證（MFA），基本上驗證和認可了零信任原則和安全框架。

　　如果再加上美國政府的支持，頂級網(wǎng)絡安全專家的支持將大大有助于證明零信任安全的有效性和完整性。零信任技術使云計算和技術的重要方面現(xiàn)代化并得到保障。

　　提高能見度

　　與云存儲和計算相關的最大擔憂是可見性和訪問管理的喪失。零信任策略利用身份驗證、身份驗證因素、授權控制以及其他身份和訪問管理（IAM）和網(wǎng)絡安全功能，在授予任何級別的信任之前對用戶進行驗證。

　　零信任旨在驗證請求訪問的用戶的身份，并確定用戶應該訪問哪些資源以及訪問權限。這對于防止內(nèi)部威脅、將敏感數(shù)據(jù)和信息僅限于必要的個人有很大幫助。

　　通過將零信任安全框架和架構應用于云技術，企業(yè)可以完全控制誰可以訪問其云資產(chǎn)以及訪問程度；它還賦予公司在必要時授予和撤銷特定用戶對特定資產(chǎn)的訪問權限的權力，從而賦予他們對系統(tǒng)的更多可見性和控制權。

　　降低風險

　　因為零信任是基于“最小特權”的概念，所以每個用戶或設備，甚至是之前登錄到網(wǎng)絡的用戶或設備，都被認為受到了威脅。這樣做可以降低數(shù)據(jù)泄露和網(wǎng)絡攻擊的風險，因為黑客需要在訪問企業(yè)資產(chǎn)之前驗證自己的身份。

　　正確的身份驗證在保護安全系統(tǒng)免受網(wǎng)絡攻擊和數(shù)據(jù)泄露方面大有幫助，從而減少和消除構建不良、不安全的安全系統(tǒng)的風險。此外，零信任保護企業(yè)在云基礎設施上持有的個人和有價值的數(shù)據(jù)，從而防止價值數(shù)百萬美元的損失，保護品牌聲譽。

　　用戶體驗和易用性

　　零信任不需要為用戶體驗提供過于復雜和不友好的方法，因為它可能會使用生物識別等用戶友好的身份驗證技術。而其復雜而高效的訪問控制協(xié)議在幕后執(zhí)行，最終用戶看不見。

　　如果實施得當，零信任將使企業(yè)和組織能夠提供和部署用戶友好、無縫的身份驗證和技術工具，從而提高最終用戶的采用率，提高資產(chǎn)的安全性。零信任還簡化了最終用戶體驗，無需管理員批準即可訪問網(wǎng)絡中的資產(chǎn)。

　　所有這些零信任接觸最終將被用于將數(shù)字安全提升到新的高度，更多的企業(yè)最終將采用它們。毫無疑問，上述討論的方法將有助于組織進入不斷變化的數(shù)字技術和安全領域。

　　網(wǎng)絡安全專家不信任零信任，也不推薦零信任保護系統(tǒng)的能力。但由于零信任能夠做到這一點，并提高安全可見性，同時提供出色的用戶體驗，它還是得到了應用。

　　結論

　　零信任絕對是改變云安全格局的技術。零信任不僅提高了組織的云安全性，還充分利用了企業(yè)應用程序，而不會損失性能或?qū)τ脩趔w驗造成負面影響，從而使企業(yè)看到了保護其云資產(chǎn)的必要性，以及客戶對便捷無縫技術的需要。

　　隨著最近網(wǎng)絡攻擊的數(shù)量和嚴重程度的上升，認為未來的網(wǎng)絡安全形勢將比今天更動蕩是不現(xiàn)實的。有鑒于此，決策者和企業(yè)IT部門最好從戰(zhàn)略上考慮部署基于零信任安全系統(tǒng)的強大安全系統(tǒng)。

　　原文標題：Zero Trust – The Silver Lining to Cloud Cyber Attacks

　　原文鏈接：https://readwrite.com/zero-trust-the-silver-lining-to-cloud-cyber-attacks/

　　譯者介紹

　　夏東威，51CTO社區(qū)編輯，信息系統(tǒng)項目師，中國人民大學傳播學碩士。具有復合型知識結構，有20多年IT上市公司市場總監(jiān)、資深研究員、IT項目負責人經(jīng)驗。目前任職北京北信源軟件股份有限公司資深研究員，擔任《東威智庫》和《東哥安全觀》公眾號主編。