随着“云大移物智”技术发展和产业数字化转型,传统安全防御理念的“边界”概念逐渐模糊,传统安全防御模型也越来越不足以应对威胁。越来越多来自企业“可信”内部人员与设备的威胁和APT攻击让企业“内网”也充满风险,传统静态的“隐式信任”模型急需重构革新。零信任理念在这样的背景下产生。
如何理解“零信任”呢?
“零信任”既不是技术也不是产品,而是一种安全理念。简单来讲,「零信任」的策略就是「不相信任何人」,除非明确接入者身份,否则将无法通过验证,进行下一步操作。传统的访问验证方式只需要知道 IP 地址或主机信息,便可通过验证,而如今零信任的验证模型,需要更清晰、更明确的信息才准许通过,如若不清楚用户身份、访问来源、授权途径等信息,访问请求则会被立即拒绝。
根据 NIST《零信任架构标准》中的定义: 「零信任(Zero Trust)」提供了一系列概念和思想,假定网络环境已经被攻陷,在执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。其中还为零信任总结了7大原则,主要关注企业的资源划分定义、杜绝隐式信任、基于连接的身份认证与授权、访问权限策略非静态、企业应监控并测量资产完整性及安全态势、整个过程的持续实施以及企业对网络安全关注改善的自主性。
为了遵循“零信任”原则,系统设计者通常会采取以下措施:
-
严格隔离各个组件:系统中的每个组件都应该与其他组件相互隔离,以防止攻击者利用一个漏洞攻击整个系统。 -
强制认证和授权:系统应该强制执行认证和授权机制,以确保只有授权的用户才能访问系统中的资源。 -
加强数据保护:系统应该加强对数据的保护,包括加密存储和传输,并采取其他措施来防止数据泄露。 -
实施安全策略:系统应该定义明确的安全策略,并采取必要的措施来遵守这些策略。
零信任的主要思想——默认企业内、外部的任何人、事均不可信,对任何试图接入网络或访问网络资源的人、事、物进行持续验证,打破了边界化的网络防御思路。在计算机系统中,如果对于任何组件,都不假定它是安全的,那么也就不会假设它不会被恶意攻击或者出错。
面对频发的数据泄露事件和不断上升的经济损失,企业越来越意识到,如果仅靠现有的安全方法,并不足以应对愈趋严峻的安全态势,他们需要更好的东西,而零信任安全体系恰好就能给出最好的结果。
Authing 作为中国领先的云计算身份基础设施,正是「零信任」安全体系下身份安全基础设施的产品实现。Authing 利用云原生架构,结合零信任安全体系,通过提供一整套开发套件,满足企业内部员工身份管理、外部客户身份管理、老应用兼容、新应用开发等全部场景的需求。
数据越来越多,安全越来越重要。数据泄露频发,让企业和用户丧失安全感。零信任网络能提供更好的数据泄露防护,让网络边界内外的任何东西,在未经验证前都不予信任。「零信任」是对网络安全行业的重大颠覆,网络安全问题将引导着企业向零信任的网络安全模式转变。
