根據(jù)2022 年 IBM 數(shù)據(jù)泄露成本報告顯示，超過 80% 的組織曾發(fā)生過不止一次的數(shù)據(jù)泄露事件。到2022 年數(shù)據(jù)泄露平均損失成本達 435 萬美元，創(chuàng)歷史新高，比過去兩年增長了 12.7%。

過去，企業(yè)僅專注于保護邊界和端點。調(diào)查顯示，轉(zhuǎn)向零信任的企業(yè)減少了 20.5% 的數(shù)據(jù)泄露成本損失。零信任安全，也稱為零信任網(wǎng)絡或零信任架構，其有一個基本原則：從不信任，始終驗證。美國國家標準與技術研究院 (NIST)將零信任安全定義為“一組不斷發(fā)展的網(wǎng)絡安全范式，將防御從靜態(tài)的、基于網(wǎng)絡的邊界轉(zhuǎn)移到關注用戶、資產(chǎn)和資源的領域”。

研究估計，零信任市場將從 2022 年的 274 億美元增長到 2027 年的 607 億美元，2022 年至 2027 年的復合年增長率 (CAGR) 為 17.3%。

為什么我們需要零信任？今天的安全有什么問題？

傳統(tǒng)的企業(yè)安全模型基于一個錯誤的前提：將黑客拒之門外。企業(yè)投入了大量的時間和精力用下一代防火墻來加強邊界，確保虛擬專用網(wǎng)訪問使用多因素身份驗證，并不斷搜尋內(nèi)部網(wǎng)絡的威脅。然而，我們還是每天都能看到有組織遭到黑客攻擊或成為勒索軟件受害者的新聞報道。

為什么會這樣？簡單地說，進入網(wǎng)絡的方式太多了。黑客不僅僅依賴配置錯誤的設備或零日漏洞進入，他們還很容易通過網(wǎng)絡釣魚，甚至是賄賂員工或承包商讓后門保持打開狀態(tài)。

傳統(tǒng)的網(wǎng)絡安全方法是將網(wǎng)絡分成越來越小的網(wǎng)絡或網(wǎng)段，可以在網(wǎng)段之間插入安全控制。這使實施細化策略或更改策略變得非常困難。另一種方法是為每個應用程序創(chuàng)建VLAN，然而在實踐發(fā)現(xiàn)中，除了敏感資產(chǎn)之外，其他的很難顧及……

此外，現(xiàn)代企業(yè)應用程序的運行環(huán)境日益復雜，應用程序和數(shù)據(jù)逐漸從傳統(tǒng)的企業(yè)邊界轉(zhuǎn)移到公共云。防火墻、虛擬專用網(wǎng)和 VLAN已有幾十年的歷史，它們是為簡單的時代而構建，難以支撐當今企業(yè)的復雜和動態(tài)需求。

我們以工廠環(huán)境中云和資源之間的連接為例。允許云服務器連接到工廠車間機器的策略，由路徑上多達 6-12 個不同的路由器、交換機和防火墻控制，而每個路由器、交換機和防火墻可能由不同的團隊管理。

零信任通過將分布式策略重新定義為“誰可以訪問什么內(nèi)容”，極大地簡化了該問題。對于上面的示例，零信任架構可以顯著簡化跨界連接，只需檢查一個地方來配置策略和驗證訪問。

零信任架構的原則是什么？

• 持續(xù)監(jiān)控和驗證：零信任網(wǎng)絡假設攻擊者不僅存在于組織外部，還存在于內(nèi)部，這就是為什么沒有用戶或設備會被自動信任的原因。零信任網(wǎng)絡安全框架會持續(xù)監(jiān)視和驗證用戶身份和權限，以及設備的身份和安全性。
• 最小權限訪問：零信任的第二個原則是最小權限訪問，它給予用戶有限的訪問權限，這減少了網(wǎng)絡敏感部分暴露給未知用戶的風險。
• 設備訪問控制：在限制用戶訪問的情況下，零信任要求嚴格的設備訪問控制，以檢測試圖訪問其網(wǎng)絡的設備數(shù)量，并確保設備獲得授權，以最大程度地降低安全漏洞的風險。
• 微分段：微分段將安全邊界分割為微小的區(qū)域，以保持對網(wǎng)絡不同段的單獨訪問。零信任規(guī)定，有權訪問其中一個段的用戶或程序，在沒有個人授權的情況下將無法訪問其他段。
• 多因素身份驗證 (MFA) ：MFA需要多個證據(jù)來驗證用戶，僅輸入密碼是不夠的，用戶還必須輸入發(fā)送到其注冊設備的代碼獲得授權。

SASE 如何與零信任相結合？兩者又有什么異同？

與其他安全架構相似，SASE的目標也是為了保護用戶、應用以及數(shù)據(jù)等。

根據(jù)Gartner的定義，SASE（安全訪問服務邊緣）是一種新興的服務，它將廣域網(wǎng)與網(wǎng)絡安全（如：SWG、CASB、FWaaS、ZTNA）結合起來，從而滿足數(shù)字化企業(yè)的動態(tài)安全訪問需求。SASE 是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略，以及在整個會話中持續(xù)評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關聯(lián)。

SASE可以提供多種網(wǎng)絡與安全能力，包括軟件定義廣域網(wǎng)（SD-WAN）, Web安全網(wǎng)關（SWG）, 云訪問安全代理（CASB）, 零信任網(wǎng)絡訪問（ZTNA）以及防火墻即服務（FWaaS）等核心能力。

零信任是一種安全理念，它并未聚焦在某些特定安全技術或者產(chǎn)品，其核心思想強調(diào)消除訪問控制中的“隱式信任”。 SASE明確描述了幾種網(wǎng)絡和安全技術，其建立在零信任原則的基礎上，零信任是SASE的關鍵基石。SASE的核心組件為實現(xiàn)零信任原則“從不信任、始終驗證”提供了技術支撐。

所有的零信任解決方案都一樣嗎？

隨著企業(yè)對零信任的興趣增加，許多網(wǎng)絡安全供應商將現(xiàn)有的解決方案重新命名為零信任，但這只是一部分，還有其他的解決方案，如軟件定義邊界 (SDP)，它充當了邊界的“大門”。

此外，由于零信任架構還沒有行業(yè)標準，實施方式多種多樣，因此建議采用零信任策略的客戶評估以下因素：

• 零信任愿景的完整性
• 該解決方案適用于哪些類型的網(wǎng)絡連接（僅限 Web 應用程序？SSH？任何 TCP/UDP 流量？）
• 解決方案是否與分段控件原生集成
• 易于實施端到端的策略管理
• 該解決方案是否需要基礎架構升級才能在本地和云環(huán)境中有效？