零信任是一種 IT 安全方法的名稱，它假定沒有受信任的網絡邊界，并且每個網絡事務都必須經過身份驗證才能發生。零信任基于“從不信任，始終驗證”的原則，并依賴于其他網絡安全方法，例如 網絡分段 和嚴格的訪問控制。零信任網絡定義了一個“保護表面”，其中包括關鍵數據、資產、應用程序和服務，有時稱為 DAAS。保護面通常比整個攻擊面小得多，因為只包括關鍵資產。

零信任安全已經取代了企業網絡邊界內的資源應受信任的舊假設，并將信任視為漏洞，因為“受信任”網絡上的用戶有能力在整個網絡中移動或導致任何和所有數據泄露他們被授予訪問權限。

在零信任架構中，不會嘗試創建受信任的網絡。相反，完全消除了信任的概念。一旦確定了保護面，網絡流量如何穿越該面、了解哪些用戶正在訪問受保護的資產，以及對使用的應用程序和連接方法進行分類，就成為為受保護數據創建和執行安全訪問策略的關鍵。當理解了這些依賴關系后，可以將控制放置在靠近保護表面的位置以創建微邊界，通常是通過使用 下一代防火墻 (NGFW) 稱為分段網關，僅允許來自合法用戶和應用程序的已知流量。NGFW 提供流量可見性，并基于 Kipling 方法實施訪問控制，根據誰、什么、何時、何地、為什么以及如何定義訪問策略。這有助于確定哪些流量可以通過微邊界，將未經授權的用戶和應用程序拒之門外，并將敏感數據拒之門外。

由于勞動力分散且偏遠，因此零信任不依賴于任何特定位置。資產和用戶可以駐留在任何地方——本地、一個或多個云中或邊緣，無論是在員工家中還是作為物聯網設備。

誰創造了零信任？

零信任是 Forrester Research 副總裁兼首席分析師 John Kindervag 的創意。2010 年，當他意識到現有的安全模型依賴于企業網絡中的一切都應該被信任的過時假設時，他提出了該概念的模型。2013 年，當 Google 宣布在自己的網絡中實施零信任安全策略時，零信任模型的接受度加速。到 2019 年，Gartner 已將零信任列為安全訪問服務邊緣解決方案的核心組成部分。

您如何實現零信任架構？

盡管通常被認為實現起來復雜且昂貴，但零信任使用現有的網絡架構，而不是叉車升級。沒有零信任產品本身，而是有與零信任架構和環境兼容的產品——以及不兼容的產品。使用 Forrester 在 2010 年概述的五步方法，零信任架構可以很容易地部署和維護。

識別保護表面 ，包括敏感數據和應用程序。Forrester 推薦使用公共、內部和機密類別的簡單三類模型。然后可以將需要保護的數據分割成微邊界，這些微邊界可以鏈接在一起以產生更廣泛的零信任網絡。

映射所有敏感數據的事務流 ，以了解數據如何在人員、應用程序以及與業務合作伙伴和客戶的外部連接之間移動。然后可以公開和保護網絡和系統對象的依賴關系。此練習可以產生可以提高整體性能和安全性的數據流優化

根據數據和事務在整個企業（和外部合作伙伴）中的流動方式，為每個微邊界定義零信任架構。這可以通過 使用物理或虛擬 NGFW的軟件定義網絡(SDN) 和安全協議來實現。

網絡設計完成后創建零信任策略。許多組織使用 Kipling 方法，該方法解決了您的策略和網絡的對象、內容、時間、地點、原因和方式。這啟用了細粒度的第 7 層強制策略，因此只有已知和授權的應用程序或用戶被授予訪問保護表面的權限。假設所有個人設備，無論是公司擁有的還是 BYOD，都是不安全的。

自動化、監控和維護 ，通過監控周圍的活動來確定任何異常流量的流向。找出異常活動發生的位置并監控所有周圍的活動。自動化日志流量的檢查和分析，以便數據可以在不影響操作的情況下流動。

零信任的核心原則是什么？

“永遠不要相信，永遠驗證”。零信任的核心原則是摒棄網絡內任何東西都是安全的過時信念。由于勞動力性質的變化、幾乎可以在任何地方都有組件的基于微服務的應用程序的采用以及業務流程日益協作的性質，不再存在安全邊界。遠程員工不再受防火墻保護，即使是連接 VPN 的員工也是如此。而且沒有安全的設備。沒有智能手機，沒有臺式機，時期。

零信任不是技術或產品。這是一種保護關鍵業務資產免受窺探和惡意軟件攻擊的方法。NGFW、多因素身份驗證以及 微分段 和最小權限原則等產品支持零信任。

零信任沒有單一的方法或技術。架構將取決于保護面的大小和由此產生的微分段，架構師必須考慮零信任策略對受影響應用程序、數據庫和其他資源的用戶體驗的影響。

零信任可能要求企業重新評估如何保護每項資產，因為執法有效地從網絡邊界轉移到保護表面中的單個系統和應用程序。零信任不是確定請求來自何處以及該網絡是否安全，而是嘗試對特定用戶和設備進行身份驗證，以確保他們是誰以及他們聲稱的身份。這應該包括基于提供的其他身份驗證為設備分配信任的能力，例如，如果提供了正確的用戶 ID 和密碼，“已知”智能手機不需要令牌。

零信任可能是一個挑戰，因為它會限制訪問，并可能激怒那些隨意訪問不需要執行其工作職能的應用程序的人。對零信任網絡的需求和好處進行適當的教育和培訓應該在最初的推出和新用戶的加入中發揮重要作用。

零信任在遠程勞動力安全中的作用是什么？

全球冠狀病毒大流行大大增加了在家工作的員工數量，許多分析人士認為，即使威脅過去，許多組織仍將繼續為無需親自到場工作的員工推廣在家工作 (WFH)工作職能。隨著遠程訪問系統的用戶數量增加，對遠程工作人員和設備的網絡攻擊以及通過遠程工作人員對公司系統的網絡攻擊也可能會增加。因此，由于大部分遠程員工，企業網絡面臨網絡犯罪和勒索軟件的風險越來越大。

鑒于在家工作的員工數量增加，對遠程員工的攻擊可能會繼續增加。網絡犯罪分子已經準備好并愿意利用家庭目標的更大范圍的工作，這將企業網絡和數據置于比正常情況更高的風險水平。許多組織已經采用或將采用零信任安全模型，其目的是對每個用戶以及他們用于訪問的設備進行身份驗證，同時將每個用戶的權限降低到進行業務交易所需的絕對最低限度。

這減輕了員工對大部分安全堆棧的責任，因為零信任假設員工在被證明并非如此之前是天生不安全的。即使是最小的組織也可以開始采用零信任安全策略，例如堅持對每個用戶（無論是內部用戶還是外部用戶）進行多因素身份驗證。

許多為不斷增長的遠程勞動力而苦苦掙扎的組織通過使用基于 Web 的網關前端來做到這一點，無論它來自何處，對保護表面的所有訪問都必須通過該網關前端。這樣的網關可以執行身份驗證任務，甚至可以確保設備和操作系統在授予訪問權限之前應用了最新的安全補丁。

由于 WFH 員工通常依賴兩個或更多設備來執行工作功能，因此零信任安全性完全與設備和網絡無關非常重要。由于遠程工作將繼續存在，零信任在新設備和未知設備上實現安全連接的能力將繼續成為其持續增長的一個因素。