超过十年前,我发表了一篇论文,介绍了信息安全的零信任模型。今天,我感到欣慰的是,来自各行各业的组织都在接受零信任的理念。但是,我担心一些常见的误解会拖慢他们的进程。由于误解的种类繁多,让我们集中精力澄清我最常遇到的四条。
在研究什么不是零信任之前,我们先来看什么是零信任:这是一种替代传统“信任”模型的方案,后者在1990年代和2000年代使用防火墙技术来保护大范围的网络,完全不考虑需要保护的数据或资产。
防火墙算法根据接口的信任级别进行分类:内部受信任为100,外部不受信任为0,以及介于两者之间的其他级别。来自低信任到高信任层级的流量需要遵循政策,而来自高信任到低信任层级的流量则不需要。行业称其为自适应安全算法,但实际上它既不自适应也不安全。
这种信任模型允许恶意工作负载在网络内自由移动,访问组织中最高价值的数据。这一认识促使我倡导一种消除数字系统中“信任”概念的模型,因为组织正在让自己面临数据泄露、内部威胁以及有限的可视性和控制风险。
这个名字本身就说明了一切:零信任。零信任模型要求安全团队从网络安全策略中消除“信任”这一概念。所有接口都应被赋予相同的信任级别:零。我们不想使系统变得可信;相反,我们希望从所有 IT 系统中消除“信任”的概念。这确保团队对每个用户、数据包、网络接口和设备授予相同的默认信任级别:零。
快喵加速器下载安卓信任仅与个体相关,而不是数字设置。身份凭据容易受到破坏,网络容易受到黑客攻击,而恶意的内部人员常常持有可信的位置。当恶意外部人员获得对内部网络的访问权限时,他们自动成为“信任的内部人员”。这让他们能够利用信任模型来满足其不良目的。因此,无法确保网络流量的来源确实是“可信的”:声明的身份仅仅是一种主张,而不是真正的身份验证。
以斯诺登和曼宁的数据泄露事件为例,他们在“可信”的设备上是“可信”的用户,他们的设备上修补程度符合标准,网络也有强大的身份验证系统和多因素认证。但没有人对他们的流量进行认证后的检查。他们利用了拥有凭据的政府网络的信任模型。
要避免身份陷阱。虽然零信任承认传统的安全边界已变得过时,但把身份视为新的边界是不够全面且不充分的安全方法。我们应从验证身份开始,但单单确认谁在访问数据或网络是远远不够的;上下文同样重要。
将身份视为进入零信任框架的初步步骤:这是一个包含上下文数据的全面方法如时间、设备类型、状态检查和风险评估。在讨论访问控制时不要忽视上下文。先确认身份,再添加高级上下文指标以确保安全访问。
那么我们该如何做到这一点呢?接下来就是第三个零信任误解:“存在零信任产品。”
这是一种框架,而不是一种商品。零信任框架要求企业重新思考他们对信任网络用户和设备的哲学与方法。它并不是一个产品,虽然安全团队可以使用多种工具来实施基于零信任的安全基础设施。此外,零信任并不要求对现有安全系统进行全面的彻底改造。它利用现有技术来支持零信任思维模式,并
