前情提要

　　零信任架構(gòu)提供了一種越來越流行的方法，可以在混合云、靈活工作和持續(xù)威脅行為者的世界中最大限度地減少網(wǎng)絡(luò)風(fēng)險。

　　未來，使用數(shù)字技術(shù)來支持更靈活的工作實踐將越來越流行。盡管Twitter 和Facebook等科技巨頭通過向一些員工承諾他們可以永遠(yuǎn)在家工作而成為頭條新聞，但對于大多數(shù)雇主來說，現(xiàn)實可能更加平淡。超過 60% 的企業(yè) 計劃支持混合工作場所，這將涉及員工一周的部分時間在家和幾天在辦公室。然而，這也將帶來新的網(wǎng)絡(luò)風(fēng)險。

具體內(nèi)容

　　好消息是，零信任模型就是為此而構(gòu)建的。一項新的總統(tǒng)行政命令 已授權(quán)美國聯(lián)邦政府機(jī)構(gòu)使用它，因而作為一種日益流行的方法，以最大限度地減少混合云、遠(yuǎn)程工作和持續(xù)威脅行為者世界中的網(wǎng)絡(luò)風(fēng)險 。

　　保護(hù)混合工作場所的挑戰(zhàn)

　　當(dāng)今的 CISO 承受著巨大的壓力，需要保護(hù)敏感的 IP 和客戶數(shù)據(jù)免遭盜竊，保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)免遭服務(wù)中斷。盡管安全支出不斷增加，但漏洞仍在繼續(xù)升級。如今，數(shù)據(jù)泄露的成本平均為每起事件近 390 萬美元，組織通常需要數(shù)百天的時間才能發(fā)現(xiàn)并遏制這些攻擊。

　　大規(guī)模遠(yuǎn)程工作的出現(xiàn)，以及現(xiàn)在的混合工作場所，為威脅參與者提供了更多優(yōu)勢。單位組織面臨來自多個方面的風(fēng)險，包括：

　　分心的家庭工作者更有可能點擊網(wǎng)絡(luò)釣魚鏈接

　　遠(yuǎn)程工作人員使用可能不安全的個人筆記本電腦和移動設(shè)備、網(wǎng)絡(luò)和智能家居設(shè)備

　　在家庭系統(tǒng)上運(yùn)行的易受攻擊的 VPN 和其他未打補(bǔ)丁的軟件

　　配置不當(dāng)?shù)?RDP 端點，很容易被先前泄露或易于破解的密碼劫持。ESET 報告稱 ，2020 年第三季度 RDP 攻擊增加了 140%

　　訪問控制較弱的云服務(wù)（密碼不好且沒有多因素身份驗證）

　　為什么是零信任

　　2009 年，F(xiàn)orrester 開發(fā)了一種新的信息安全模型，稱為零信任模型，已獲得廣泛接受和采用。它是為這樣一個世界而設(shè)計的，在這個世界中，將所有安全資源放置在外圍，信任其中的所有內(nèi)容的舊確定性不再相關(guān)。由于分布式工作和云無處不在，這就是我們今天生活的世界。

　　相反，零信任建立在“永不信任，始終驗證”的口號之上，以幫助減少違規(guī)的影響。在實踐中，存在三個基本原則：

　　這應(yīng)該包括家庭網(wǎng)絡(luò)、公共 Wi-Fi 網(wǎng)絡(luò)（例如，在機(jī)場和咖啡店中）甚至內(nèi)部部署的公司網(wǎng)絡(luò)。威脅行為者太堅定了，我們無法假設(shè)還有任何安全空間。

　　如果所有網(wǎng)絡(luò)都不受信任，那么用戶也必須如此。畢竟，您不能保證帳戶沒有被劫持，或者用戶不是惡意的內(nèi)部人員。這意味著授予員工足夠的權(quán)限來完成工作，然后定期審核訪問權(quán)限并刪除任何不再合適的權(quán)限。

　　每天我們都會聽到有關(guān)新安全漏洞的消息。通過保持警惕的心態(tài)，組織將保持警惕，并以靈活的零信任心態(tài)繼續(xù)改善防御。違規(guī)是不可避免的——這是為了減少它們的影響。

　　零信任是如何演變的

　　當(dāng)零信任于 2009 年首次創(chuàng)建時，它是一個非常以網(wǎng)絡(luò)為中心的模型。多年來，它已經(jīng)發(fā)展成為一個完整的生態(tài)系統(tǒng)。其核心是必須保護(hù)的關(guān)鍵數(shù)據(jù)或業(yè)務(wù)流程。圍繞這四個關(guān)鍵要素：可以訪問數(shù)據(jù)的人員、存儲數(shù)據(jù)的設(shè)備、數(shù)據(jù)流經(jīng)的網(wǎng)絡(luò)以及處理數(shù)據(jù)的工作負(fù)載。

　　現(xiàn)在 Forrester 添加了另一個關(guān)鍵層：自動化和編排以及可見性和分析。這些集成了支持零信任所需的所有縱深防御控制。

　　在這個新的迭代中，零信任是幫助降低混合工作場所風(fēng)險的完美方式——在這種環(huán)境中，邊界是流動的，必須不斷驗證分布式工作人員的身份，并且網(wǎng)絡(luò)被分割以減少威脅傳播的可能性。在大流行的過程中也很明顯，在許多情況下，VPN 無法支持大量遠(yuǎn)程工作人員——無論是在入站流量還是在補(bǔ)丁的出站部署方面。如果沒有修補(bǔ)和保護(hù)不足，它們本身也越來越成為目標(biāo)。零信任是更好的長期選擇。

　　如何開始使用零信任 ？

　　最新數(shù)據(jù)表明，近四分之三 （72%） 的組織正在計劃 （42%） 或已經(jīng)推出 （30%） 零信任。

　　事實上，您可能已經(jīng)在使用許多入門所需的工具和技術(shù)。這些包括以下內(nèi)容：

　　人員： 基于角色的訪問控制、多因素身份驗證、帳戶隔離。

　　工作負(fù)載： 大多數(shù)云提供商都在此處內(nèi)置控件。組織應(yīng)該使用這些來減少對不同工作負(fù)載的訪問。并執(zhí)行良好的政策。

　　設(shè)備： 資產(chǎn)管理將幫助您了解您擁有什么。然后使用端點檢測和響應(yīng) （EDR）、基于主機(jī)的防火墻等來保護(hù)這些資產(chǎn)并防止橫向移動。

　　網(wǎng)絡(luò)： 微分段是這里的關(guān)鍵。將路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備與訪問控制列表 （ACL） 結(jié)合使用，以限制可以與網(wǎng)絡(luò)不同部分進(jìn)行通信的人員和內(nèi)容。漏洞管理也很重要。

　　數(shù)據(jù)：對您的數(shù)據(jù)進(jìn)行分類，然后對靜態(tài)和傳輸中最敏感的類型應(yīng)用加密。文件完整性監(jiān)控和數(shù)據(jù)丟失預(yù)防也有助于保護(hù)數(shù)據(jù)。

　　最后，它是關(guān)于在頂部添加安全編排和自動化以及數(shù)據(jù)分析功能。這帶來了安全運(yùn)營團(tuán)隊有效完成工作所需的態(tài)勢感知能力。