為什麼需要零信任?
在2010 年 Forrester Research 關於零信任的著名報告中,John Kindervag 呼籲將網絡安全的常見“信任但驗證”方法調整為“驗證而不信任”策略。Kindervag 對盛行的座右銘提出了挑戰:“我們希望 [ed] 我們的網絡像 M&M 巧克力豆一樣,外面有硬脆的外皮和有嚼勁的軟心。” 幾十年來,企業一直是這樣設計的,一個受信任的或內部網絡(耐嚼的中心)通過防火牆和其他安全防禦(鬆脆的外部)與外部世界隔開。邊界內的個人或端點,或通過遠程方法連接的個人或端點,比邊界外的人獲得更高級別的信任。
這種“硬殼,軟中心”的安全設計方法可以說從來都不是理想的,但今天仍然存在。這些架構使得一旦進入內部網絡就可以輕鬆地遍歷內部網絡,用戶、設備、數據和其他資源的分離最小化。網絡攻擊利用這種設計,首先獲得對一個或多個內部端點或其他資產的訪問權限,然後再通過網絡橫向移動、利用弱點、洩露受控信息並發起進一步的攻擊。
除了對複雜網絡攻擊的敏感性之外,隨著網絡擴展到包括大量端點,這種不充分的架構變得緊張,用戶需要從更多位置遠程訪問,並通過更細粒度的服務訪問更多資產。自 COVID-19 大流行以來,信任問題引起了更多關注,因為勞動力變得越來越偏遠,雲環境中的工作負載繼續增長。
為了管理這種環境的漏洞,企業正在從允許安全訪問整個網絡的虛擬專用網絡 (VPN) 過渡到更精細的零信任網絡訪問 (ZTNA),後者將訪問分段並限制用戶對特定應用程序的權限和服務。這種微分段方法可以幫助限制攻擊者的橫向移動、減少攻擊面並遏制數據洩露的影響,但採用零信任模型需要組織在其安全架構的各個方面應用“驗證和永不信任”的理念。
這種“硬殼,軟中心”的安全設計方法可以說從來都不是理想的,但今天仍然存在。這些架構使得一旦進入內部網絡就可以輕鬆地遍歷內部網絡,用戶、設備、數據和其他資源的分離最小化。網絡攻擊利用這種設計,首先獲得對一個或多個內部端點或其他資產的訪問權限,然後再通過網絡橫向移動、利用弱點、洩露受控信息並發起進一步的攻擊。
除了對複雜網絡攻擊的敏感性之外,隨著網絡擴展到包括大量端點,這種不充分的架構變得緊張,用戶需要從更多位置遠程訪問,並通過更細粒度的服務訪問更多資產。自 COVID-19 大流行以來,信任問題引起了更多關注,因為勞動力變得越來越偏遠,雲環境中的工作負載繼續增長。
為了管理這種環境的漏洞,企業正在從允許安全訪問整個網絡的虛擬專用網絡 (VPN) 過渡到更精細的零信任網絡訪問 (ZTNA),後者將訪問分段並限制用戶對特定應用程序的權限和服務。這種微分段方法可以幫助限制攻擊者的橫向移動、減少攻擊面並遏制數據洩露的影響,但採用零信任模型需要組織在其安全架構的各個方面應用“驗證和永不信任”的理念。
