?云計算和邊緣計算的日益普及，加上遠程勞動力的增加，正在促使安全架構師尋找新方法，以確?；谏矸莸木W(wǎng)絡安全。

定義安全邊界的傳統(tǒng)方法已不再可行，傳統(tǒng)方法將“受信任”與“不受信任的”通信區(qū)分開來。員工在辦公室和防火墻外工作，并且，云服務意味著大量業(yè)務流量從未流經(jīng)企業(yè)局域網(wǎng)。

為了應對這種情況，企業(yè)可以使用零信任模型進行身份驗證和授權，以更好地保護業(yè)務關鍵型數(shù)據(jù)。零信任理念和工具已經(jīng)獲得發(fā)展動力，因為它們更適合運行在無邊界的企業(yè)環(huán)境中。

讓我們來看看基于邊界的安全性與零信任，并探討為什么企業(yè)可能希望在不久的將來遷移到零信任理念。

什么是基于邊界的安全性？

經(jīng)典的網(wǎng)絡設計是基于企業(yè)局域網(wǎng)的概念而構建，這種局域網(wǎng)由交換機、路由器和Wi-Fi連接組成。這個局域網(wǎng)包含一個或多個數(shù)據(jù)中心，這些數(shù)據(jù)中心容納應用程序和數(shù)據(jù)。該LAN構成安全網(wǎng)絡邊界。

對于具有基于邊界安全性的企業(yè)，通過INTERNET、VPN和遠程站點跨WAN連接訪問應用和服務，被視為外部。所有連接到該LAN的內(nèi)容都被視為“受信任”，而來自邊界的設備則“不受信任”。這意味著外部用戶必須通過各種安全和識別工具來證明他們是誰。

什么是零信任？

零信任是企業(yè)信任的一種理念和方法，其中所有用戶、設備和相互通信都被認為不受信任，直到得到驗證，然后隨著時間的推移不斷被重新驗證。這種安全模型使用最小特權原則來限制用戶或設備可與之通信的內(nèi)容。如果用戶帳戶或設備遭到入侵，零信任可顯著降低組織內(nèi)橫向移動的風險。

微分段在零信任安全性中起著重要作用，因為網(wǎng)絡本身在邏輯上被分割成各種安全區(qū)域，直至工作負載級別。這在數(shù)據(jù)中心中非常有用，其中分布式服務被隔離到安全的網(wǎng)段上，但外部通信嚴格按照安全策略來執(zhí)行。

為什么要從基于邊界的安全性轉(zhuǎn)向零信任？

基于邊界的安全性的最大問題是它本質(zhì)上是靜態(tài)的。多年來，應用程序、設備和用戶已經(jīng)遷移到傳統(tǒng)的LAN邊界之外，因此，從架構的角度來看，這些應用程序、設備和用戶都是不可信。

邊界安全還存在基本缺陷，即從安全邊界內(nèi)部訪問資源的任何人都可以信任。這是糟糕的假設，因為內(nèi)部威脅與外部威脅一樣多，因惡意和疏忽導致的不同類型的內(nèi)部威脅證明了這一點。

對于基于身份的安全策略來說，在進行身份驗證前不信任任何人，并不斷重新進行身份驗證，這更有意義。零信任方法將所有用戶、設備、應用和通信置于同一安全競爭環(huán)境中。這樣做還可以簡化策略創(chuàng)建，提高可見性和集中訪問控制。