什么是零信任体系架构?

零信任是一项战略计划,它通过消除组织网络体系结构中的信任概念来帮助防止成功破坏数据。零信任的“永远不信任,永远验证”的原则,旨在通过利用网络分段,防止横向移动,提供威胁防护以及简化精细的用户访问控制来保护现代数字环境。

零信任是由约翰·金德瓦格(John Kindervag)担任Forrester Research副总裁兼首席分析师期间创建的,其基础是传统安全模型在过时的假设下运作,即组织网络内的所有事物均应受到信任,这一事实得到了证实。在这种信任模型下,假定用户的身份没有受到损害,并且所有用户都以负责任的方式行动并且可以信任。零信任模型认为信任是一个漏洞。进入网络后,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动并访问或泄露其任何数据。通常,攻击的渗透点通常不是目标位置。

零信任架构

在“零信任”中,需要确定保护面,保护面由网络的最关键和最有价值的数据,资产,应用程序和服务组成。识别出保护面之后,组织需要确定流量在整个组织中相对于保护面的流动方式,了解用户是谁,他们正在使用那些应用程序以及如何连接它们是确定和执行确保安全访问数据的策略的唯一方法。一旦了解了基础架构,服务和用户之间的相互依赖的关系,就应该讲控件放置在尽可能靠近保护面的位置,并在其周围创建一个微边界。组织可以通过部署细分网关来创建微周边,通常称为下一代防火墙,以确保只有已知的,允许的流量或合法的应用程序才能访问保护表面。

零信任不依赖任何网络位置,用户,设备和应用程序工作负载现在无处不在,因此组织必须在整个网络环境中实施零信任,有权限的用户才可以访问到所属的应用程序和数据。

用户还可以从任何地方访问关键的应用程序和工作负载:家庭,咖啡店,办公室和小型分支机构。零信任要求一致的可见性,执行力和控制力,可以直接在设备上或通过云交付。软件定义的边界可提供安全的用户访问权限,并防止数据丢失,无论用户身在何处,正在使用哪些设备,或在何处托管工作负载和数据(即数据中心,公共云或SaaS应用程序)。

工作负载是高度动态的,并且在多个数据中心以及公共,私有和混合云之间移动。借助零信任,您必须深入了解用户,设备,网络,应用程序和数据之间的活动和相互依赖性。分段网关可以监控流量,阻止威胁并在本地数据中心和多云环境中跨南北向和东西向流量实施精细访问。

如何实现零信任架构

使用“零信任”来获得跨用户,设备,位置和应用程序的所有流量的可见性和上下文,以及用于查看内部流量的分区功能。为了获得流量的可见性和上下文,它需要经过具有解密功能的下一代防火墙。

下一代防火墙可对外围进行微分段,并充当组织内的边界控制。尽管有必要保护外围边界,但当流量在网络中不同功能之间穿越时,获得可见性以验证流量甚至更为关键。添加两个因素验证和其他验证方法将提高组织正确验证用户的能力。利用“零信任”方法来识别组织的业务流程,用户,数据,数据流以及相关的风险。

分享到:

深云SDP

零信任SDP专业平台

立即试用

立即试用