什么是零信任？零信任的應(yīng)用場景和部署模式

零信任是新一代網(wǎng)絡(luò)安全理念，并非指某種單一的安全技術(shù)或產(chǎn)品，其目標是為了降低資源訪問過程中的安全風險，防止在未經(jīng)授權(quán)情況下的資源訪問，其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認綁定關(guān)系。

一、零信任安全模型的核心理念可以概括為以下幾點：
1. 基于身份的訪問控制：不是網(wǎng)絡(luò)位置，而是實體的身份成為授權(quán)訪問的關(guān)鍵。所有用戶和設(shè)備在被允許訪問資源之前都必須經(jīng)過嚴格的身份驗證和授權(quán)檢查。
2. 持續(xù)的信任評估：授權(quán)決策不再依賴于傳統(tǒng)靜態(tài)標準，如用戶的地理位置或網(wǎng)絡(luò)內(nèi)部/外部。相反，零信任模型要求對用戶的行為和環(huán)境進行連續(xù)監(jiān)控，并根據(jù)實時數(shù)據(jù)動態(tài)調(diào)整訪問權(quán)限。
3. 動態(tài)訪問管理：系統(tǒng)會不斷監(jiān)測用戶的行為、設(shè)備狀態(tài)和網(wǎng)絡(luò)環(huán)境，以便在任何必要時刻迅速調(diào)整訪問權(quán)限，確保只有合規(guī)的活動能夠獲得所需資源的訪問。
4. 最小化權(quán)限原則：按照“只必需”的原則來分配權(quán)限，確保用戶和設(shè)備只能訪問完成特定任務(wù)所必須的最少資源。這有助于限制一旦發(fā)生安全事件時影響的范圍。

二、零信任安全模型的組成部分NIST 800-207標準文檔中提及的三類技術(shù)架構(gòu)具體如下：
1.SDP (軟件定義邊界)：它主要用于控制從用戶端到業(yè)務(wù)應(yīng)用的訪問，即南北向訪問控制。這通常適用于遠程辦公等場景，其中用戶需要從外部網(wǎng)絡(luò)訪問內(nèi)部資源。SDP確保只有經(jīng)過驗證的用戶才能訪問應(yīng)用，無論他們的物理位置如何。
2.MSG (微隔離)：這種架構(gòu)用于在數(shù)據(jù)中心內(nèi)部，即東西向的訪問控制。微隔離技術(shù)確保了數(shù)據(jù)中心內(nèi)的各個系統(tǒng)和應(yīng)用程序之間的通信是安全的，限制了潛在的橫向移動，從而降低了一個系統(tǒng)被破壞會影響到其他系統(tǒng)的風險。
3.IAM (增強型身份治理)：聚焦于身份管理和認證以及權(quán)限管理。增強型身份治理確保只有具備適當憑證和權(quán)限的用戶才能訪問敏感資源。這包括多因素認證、單點登錄、屬性基訪問控制等技術(shù)的應(yīng)用

三、零信任應(yīng)用場景
1. 遠程辦公：隨著遠程辦公的普及，當員工需要在家中或其他地點訪問企業(yè)資源時，零信任可以確保只有經(jīng)過身份驗證和授權(quán)的用戶才能訪問網(wǎng)絡(luò)資源，無論他們身在何處。
2. 多云和混合云環(huán)境：組織可能使用來自不同云服務(wù)提供商的服務(wù)，或者同時使用公有云和私有云。零信任策略可以幫助統(tǒng)一管理復雜的多云和混合云環(huán)境中的訪問權(quán)限，并確保數(shù)據(jù)安全。
3. 合作伙伴和第三方訪問：組織通常需要與合作伙伴、供應(yīng)商和其他第三方共享資源。零信任可以為這些外部實體分配臨時訪問權(quán)限，并限制其訪問范圍，防止數(shù)據(jù)泄露。
4. 內(nèi)外網(wǎng)混合辦公：為企業(yè)職場、分支提供內(nèi)外網(wǎng)一致的訪問體驗，解決內(nèi)網(wǎng)權(quán)限策略腐化、失效等安全問題，實現(xiàn)基于身份的訪問控制和動態(tài)評估，減少安全運維工作量、提升實際安全效果。
5. 攻防演練安全加固：在常態(tài)化安全攻防場景中，可以通過零信任收縮暴露面，事前安全加固、事中檢測及阻斷、事后溯源審計，以此來提高攻擊者攻擊成本。
6. 終端數(shù)據(jù)防泄密：通過BYOD終端訪問研發(fā)、設(shè)計、制造、公文、財務(wù)等敏感數(shù)據(jù)時，會帶來數(shù)據(jù)泄密風險，可以通過零信任終端數(shù)據(jù)防泄密，來提高終端數(shù)據(jù)安全性。

四、零信任網(wǎng)絡(luò)的部署模式

實現(xiàn)零信任訪問控制的方式多樣，以適應(yīng)不同組織的獨特需求和現(xiàn)有資源。以下是幾種典型的零信任部署模式：

1. 本地部署（On-premises）：在這種模式下，零信任網(wǎng)絡(luò)架構(gòu)被配置在公司自己的數(shù)據(jù)中心或內(nèi)部網(wǎng)絡(luò)環(huán)境中。這適合那些需要對安全基礎(chǔ)結(jié)構(gòu)有高度控制權(quán)的企業(yè)。不過，這可能需要較高的初始資金投入以及專業(yè)知識，以便構(gòu)建和維護這個系統(tǒng)。
2. 云托管（Cloud-hosted）：在這種模式下，零信任解決方案是部署在云服務(wù)提供商的基礎(chǔ)架構(gòu)上的。這種方案的優(yōu)勢在于其靈活性較高，能迅速適應(yīng)組織的變化和發(fā)展。與本地部署相比，云托管通常具有更低的起始成本和更簡便的維護程序。
3. 混合部署（Hybrid）：混合部署結(jié)合了本地和云托管的特點，通過兩者的優(yōu)勢來達成組織特定的安全目標。根據(jù)組織的安全政策和資源狀況，可以靈活地在本地數(shù)據(jù)中和云端之間進行選擇和調(diào)整。
4. 軟件即服務(wù)（SaaS）：基于零信任模型的身份和訪問管理（IAM）解決方案可以通過SaaS模式來實現(xiàn)。這種方式免除了企業(yè)自行維護底層基礎(chǔ)設(shè)施的需求，能夠迅速支援并實踐零信任策略。

選擇合適的部署模式時，應(yīng)綜合考慮組織的具體需求、資源狀況和安全策略。例如，對于那些需要對基礎(chǔ)結(jié)構(gòu)擁有高度控制權(quán)的組織而言，本地部署可能更為理想；而如果追求易用性和靈活性，則云托管或SaaS方案可能更加適宜。最關(guān)鍵的是，所選的部署模式應(yīng)當能夠滿足組織的網(wǎng)絡(luò)安全需求，并能隨時調(diào)整以應(yīng)對不斷演變的網(wǎng)絡(luò)威脅。

我們擁有專業(yè)的技術(shù)人員和優(yōu)質(zhì)的服務(wù)團隊，結(jié)合國內(nèi)外廠家：深信服、華為、Fortinet（飛塔）、思科、天融信、綠盟等為您的企業(yè)提供專業(yè)的零信任解決方案，為您節(jié)省成本、提升效率。

審核編輯 黃宇