零信任的定義

零信任是一個信息安全規範，這個規範規定企業不應該在任何時間信任其網絡範圍之內或之外的任何實體。它提供了可視性和IT控件，以保護、管理和監視屬於企業及其員工和承包商或由其使用的每個設備、用戶、應用程序、網絡以及相關的資料數據。

零信任配置的目標：在需要知道的基礎上限制對敏感數據、應用程序和設備的訪問。例如，財務部門的員工需要會計軟體系統，所有其他軟體都應被禁止。遠程工作人員應使用VPN，應禁止從開放的Internet訪問。數據共享應受到限制和控制。必須限制曾經是Internet基礎的信息的自由流通，以保護網絡免受滲透，保護客戶免受隱私侵害，並使組織免受基礎設施和運營的攻擊。

零信任的策略總結為仔細檢查任何傳入或傳出的流量。但是，此安全模型與其他安全模型之間的區別在於，即使內部流量（也就是不跨越組織範圍的流量）也必須被視為潛在危險。

過去十年來威脅格局的變化像是數百種公共數據洩漏和破壞；勒索病毒攻擊使城市、學校和醫療機構中數千個端點上的操作停止了；或從業務數據庫中竊取的數百萬個用戶的個人身份信息。隨著網絡犯罪分子在2020年繼續將重點轉移到業務目標上，零信任似乎是阻止越來越多攻擊的明智方法。

實施零信任

在組織中實施“零信任”安全模型不只是觀念上的改變。它也必需清楚地了解公司部門內的功能，當前部署的軟體、訪問級別和設備，以及未來每個需求的整體架構是什麼。

通常，從頭開始構建零信任網絡比將現有網絡重組為零信任要容易得多，因為現有網絡將需要在整個過渡期間保持功能正常。在這兩種情況下，IT和安全團隊都應提出一統一的策略，其中包括理想的最終基礎架構以及有關如何實現目標的逐步策略。

例如，在建立資源和數據中心時，企業可能幾乎必須從頭開始，尤其是在舊系統與零信任框架不兼容的情況下，而通常是這樣。但是，即使公司不必從頭開始，他們仍可能需要在其安全策略內重新組織特定的功能，例如他們如何部署軟體或使用哪種存儲方法。

零信任的優勢

在組織的基礎結構基礎上建立零信任關係可以加強許多IT和安全基礎。無論是在支持標識和訪問策略，還是在對數據進行分段方面，透過添加一些簡單的進入障礙並根據需要允許訪問，“零信任”都可以幫助組織加強安全狀況並限制攻擊面。

研究發現認為企業應該接受零信任的四個策略：

強大的用戶識別和訪問策略
數據和資源分割
強大的數據存儲和傳輸安全性
安全編排

用戶識別和訪問
在多因素身份驗證（MFA）中使用安全的因素組合可以使團隊充分了解誰在發出請求，並且經過深思熟慮的策略結構應根據該標識確認他們可以訪問哪些資源。

許多企業透過使用單點登錄服務選擇身份即服務（IDaaS）雲平台來控制對數據和應用程序的訪問。在零信任模型中，通過在授予條目之前驗證誰正在請求訪問，請求的上下文以及訪問環境的風險，可以進一步保護該訪問。在某些情況下，這意味著限制資源的功能。在其他情況下，它可能會添加另一層身份驗證或會話超時。

分割
但是，如果沒有適當的數據和資源分段，那麼正常的訪問策略將毫無意義。創立一個龐大的數據池，讓所有通過入口測試的人都可以進入並取得他們想要的任何東西，這不會保護敏感數據不被共享，也不會阻止內部人員濫用安全工具或其他資源。

透過將企業組織網絡的各個部分劃分成幾個部分，零信任可保護關鍵知識產權免受未授權用戶的侵害，並對易受攻擊的系統進行嚴格保護來減少攻擊面，以防止威脅通過網絡橫向移動。數據和資源分割還可以幫助限制內部威脅的後果，包括可能對員工造成人身傷害的威脅。

數據安全
即使限制了對數據的訪問並通過分段來減少攻擊面，但如果企業無法保護數據在存儲和傳輸中的安全，它們仍然容易遭受數據洩露，數據洩漏和攔截。點到點加密、散列數據、自動備份和保護洩漏存儲桶是組織將零信任度納入其數據安全計劃的方法。

安全編排
最後，貫穿所有這些策略的是安全協調的重要性。即使沒有安全管理系統，使用零信任的組織也需要確保安全解決方案能夠很好地協同工作，並涵蓋所有可能的攻擊媒介。重疊本身並不是問題，但是要找到合適的設置以最大程度地提高效率並最大程度地減少衝突可能會很棘手。

零信任策略的挑戰

零信任被認為是一種全面的方法，可確保從用戶、最終用戶設備、API、IoT、跨網絡、應用程序和環境進行訪問。零信任在保護員工的工作和工作場所時，確實遇到了一些挑戰。這些包括：

越來越多的用戶（辦公室和遠程用戶）
越來越多的設備（移動，物聯網，生物技術）
更多不同的應用程序（CMS，Intranet，設計平台）
更多訪問和存儲數據的方式（drive, cloud, edge）

信任與否

全面改革零信任安全模式並非易事，但我們認為這是企業整體安全狀況和安全意識的增強。

威脅態勢的變化，包括最近VPN和Citrix中的漏洞，以及通過遠程桌面協議（RDP）交付的勒索軟件，可能會鼓勵更多企業研究零信任解決方案（如果僅用於身份和訪問管理）。這些企業必須留出過渡期，並為一些重大變化做好準備。

適當的“零信任”框架不會自動允許周邊的流量進入，肯定會阻止黑客用來加強對已破壞網絡的控制的橫向威脅運動。諸如Emotet和TrickBot等以業務為中心的頂級威脅將無法傳播，因為它們將無法在分段網絡中的服務器之間進行工作。由於滲透點通常不是攻擊者的目標位置，因此設置內部邊界還可以限製成功攻擊的嚴重性。

除了這些層之外，強大的數據安全衛生和智能編排還可以覆蓋威脅類型，操作系統和平台的廣泛範圍，並且企業擁有一個今天很難被擊敗的安全框架。在我們看來，這使“零信任”成為趨勢。

文章摘錄自 : Pieter Arntz (Was a Microsoft MVP in consumer security for 12 years running. Can speak four languages. Smells of rich mahogany and leather-bound books.)

進一步了解Malwarebytes