幾十年來，IT 行業(yè)依靠邊界安全來保護關鍵數(shù)字資產(chǎn)。防火墻和其他基于網(wǎng)絡的工具監(jiān)控和驗證網(wǎng)絡訪問。然而，向數(shù)字化轉(zhuǎn)型和混合云基礎架構的轉(zhuǎn)變使這些傳統(tǒng)的安全方法變得不足。顯然，周界已經(jīng)不存在了。

然后，大流行將漸進的數(shù)字化轉(zhuǎn)型變成了一場突然的爭奪戰(zhàn)。這讓許多公司都在努力保護遠程員工訪問系統(tǒng)的龐大網(wǎng)絡。此外，我們還看到應用程序、API 和物聯(lián)網(wǎng)設備呈爆炸式增長，它們都要求連接到網(wǎng)絡。從安全的角度來看，邊界的消失代表著前所未有的挑戰(zhàn)。

早在 2009 年，F(xiàn)orrester 分析師約翰·金德瓦格 (John Kindervag) 就看到這種變化來得很快，他創(chuàng)造了零信任一詞。它的核心是相信信任是一個漏洞，安全設計必須采用“永不信任，始終驗證”的策略。

零信任如何改變了網(wǎng)絡安全的進程？讓我們找出來。

零信任迅速發(fā)展

從2014年開始，零信任的概念迅速演變。在真正意義上，零信任可以被認為是一種框架、一種架構甚至一種哲學。例如，2018年，F(xiàn)orrester制定了零信任的七大核心支柱。然而，該公司后來改變了這一立場。他們最近提供了零信任的定義：

“零信任是一種信息安全模型，默認情況下拒絕訪問應用程序和數(shù)據(jù)。威脅預防是通過僅授予對網(wǎng)絡和工作負載的訪問權限來實現(xiàn)的，該策略使用基于用戶及其相關設備的持續(xù)、上下文、基于風險的驗證所提供的策略。零信任提倡以下三個核心原則：默認情況下，所有實體都是不可信的；強制執(zhí)行最小權限訪問；并實施全面的安全監(jiān)控。”

為了響應這些要求，安全行業(yè)開發(fā)了身份和訪問管理(IAM) 等工具，這些工具與最小權限訪問一起構建。這意味著只應將最低限度的必要權限分配給請求訪問資源的任何用戶（或軟件）。此外，特權應在必要的最短時間內(nèi)有效。

同時，通過安全信息和事件管理（ SIEM ）等解決方案完成全面的安全監(jiān)控。隨著網(wǎng)絡安全威脅變得更加先進和持久，安全分析師需要付出更多努力來篩選無數(shù)事件。通過利用威脅情報，SIEM 可以更輕松地通過高保真警報更快地修復威脅。

太多的安全問題，太少的時間

雜亂無章的安全解決方案使當前的安全形勢更加復雜。這導致安全團隊的手動任務增加，并且缺乏有效減少攻擊面的上下文。隨著數(shù)據(jù)泄露事件的增多和全球監(jiān)管的加強，保護網(wǎng)絡變得越來越具有挑戰(zhàn)性。

數(shù)據(jù)訪問已成為現(xiàn)代組織的一項關鍵要求，需要一個強大的安全基礎設施。零信任旨在滿足這一需求。目標是為所有用戶、設備和資產(chǎn)提供動態(tài)和持續(xù)的保護。與邊界安全不同，零信任需要不斷驗證才能完全有效，從而為每個交易、連接和用戶實施安全。

實施零信任框架可以全面了解組織的安全狀況。此外，它還可以幫助安全團隊主動管理威脅。憑借一致的安全策略和快速的威脅響應，零信任為現(xiàn)代數(shù)據(jù)訪問需求提供了更安全、更高效的解決方案。

零信任的更多好處

除了核心安全優(yōu)勢之外，IT 團隊很快認識到零信任模型的其他優(yōu)勢。零信任的必然好處包括：

• 通過減少子網(wǎng)上的流量來增強網(wǎng)絡性能
• 提高解決網(wǎng)絡錯誤的能力
• 由于更高的粒度，更簡化的日志記錄和監(jiān)控過程
• 更短的違規(guī)檢測時間。

面對當今的威脅現(xiàn)實

現(xiàn)代網(wǎng)絡威脅地形比以往任何時候都更加危險。攻擊的多樣性和攻擊量不斷增加，每個受害者遭受多次攻擊正迅速成為常態(tài)。我們想要一個我們可以隨時隨地連接的世界。但這意味著攻擊可能來自任何地方，也可能來自任何時間。因此，零信任正迅速成為事實上的安全策略。

2022 年 1 月，總統(tǒng)辦公廳發(fā)布了關于政府范圍內(nèi)零信任目標的公告：

“在當前的威脅環(huán)境中，聯(lián)邦政府不能再依賴傳統(tǒng)的基于邊界的防御來保護關鍵系統(tǒng)和數(shù)據(jù)，”備忘錄指出。白宮強調(diào)，漸進式改進不會提供必要的安全保障。相反，聯(lián)邦政府尋求進行大膽的變革和重大投資，以“捍衛(wèi)支撐美國生活方式的重要機構”。

根據(jù)國防部首席信息官約翰謝爾曼的說法，五角大樓計劃到 2027 年在其整個企業(yè)中實施零信任架構?！拔覀兊哪繕耸堑?2027 年在五年內(nèi)在國防部的大多數(shù)企業(yè)系統(tǒng)中部署零信任，”謝爾曼說。

由于零信任的實施并不簡單，美國政府制定了一個雄心勃勃的目標。然而，鑒于當前和不斷增長的對手能力，可能別無選擇。

編譯自：IBM securityintelligence

原作者：喬納森·里德