什麼是零信任網絡架構？

零信任網絡架構 (ZTNA) 是一種安全模型，它在授予對資料和應用程式的通路權限之前對每個使用者、裝置和程序使用多層精細通路控制、強大的攻擊預防和持續驗證。使用 ZTNA 方法，信任永遠不會被隐式授予，必須不斷評估。ZTNA - 也稱為零信任網絡通路、軟體定義邊界 (SDP) 或動态安全邊界 (DSP) - 不依賴于預定義的信任級别。

作為一種安全架構，零信任的目标是為資料和應用程式提供更安全的通路，即使是遠端從業人員也是如此。由于當今的組織在更加複雜、互聯的生态系統和雲服務中工作，零信任可以幫助組織抵禦來自外部和内部威脅的惡意活動，并防止代價高昂的資料洩露。

随着越來越多的組織尋求改善其網絡安全狀況的方法，零信任正在獲得關注。更棒的是，使用者通路的零信任模型可以适應任何規模的組織。無論您是小型企業還是大型企業，都可以實施零信任來提高安全性。

零信任有什麼好處？

數字化轉型為組織擴大市場、增加銷售額和提高生産力創造了新的機會。但這種轉變也開辟了新的攻擊媒介，并擴大了惡意攻擊者的攻擊面，這些攻擊者現在部署了越來越複雜的威脅，包括惡意軟體、網絡釣魚攻擊和勒索軟體。更糟糕的是，員工和“受信任的”供應商和合作夥伴往往是系統的入口，無論是無意的受害者還是故意惡意的内部人員。

零信任網絡架構的主要優勢在于，它有助于為當今現代 IT 環境中的數字身份提供強大的方法。IT 安全團隊不能再簡單地用防火牆保護他們的網絡架構。當今的複雜環境現在包括移動裝置、雲環境、DevOps、BYOD、IoT 裝置等。零信任可以向所有身份授予詳細的通路權限和權限——所有使用者、所有端點裝置以及所有自動化機器和應用程式程序。

此外，ZTNA 是一種強大的設計，不僅可以關閉試圖獲得通路權限的外部威脅的漏洞，還可以控制網絡内部的橫向移動。通常，組織較少關注内部控制和系統配置，而是關注建立外部邊界。以剛才提到的惡意内部人員為例，他們經常試圖利用自己的“受信任”狀态和憑據來通路其他未被發現的系統。零信任通過從不為任何身份隐式授予信任來填補安全漏洞。

除了零信任提供的強大身份安全優勢之外，零信任的另一個好處是它不是一個全有或全無的命題。組織可以逐漸實施零信任，而無需立即對其現有網絡基礎設施和雲安全進行全面檢修。例如，您可以，事實上，美國國家安全局 (NSA) 已經确定并推薦了三個零信任成熟度級别：

基本：實作對資料和應用程式的基本內建安全通路。

中級：優化您的內建功能并添加更多功能。

進階：通過強大的分析和編排部署進階保護和控制。

這種靈活的實施政策可以幫助 IT 團隊為任何規模的組織節省時間和金錢，并且可以為大型企業擴充。

零信任網絡架構如何工作？

除非明确允許使用者或機器，否則零信任網絡架構拒絕通路資源。沒有隐含的信任關系。此外，對于每個身份，每次請求通路時，這些通路權限都會被實時評估和準許（或拒絕）。這種“從不信任，始終驗證”驗證政策是零信任和傳統網絡安全模型之間的主要差別。

ZTNA 的工作方式是通過多種方法進行的，包括使用者身份驗證、授權和檢查，并且基于使用者身份、位置、作業系統和固件版本以及端點硬體類型等标準。零信任方法提供細粒度、最小權限的通路來限制橫向移動。

零信任安全模型的三個階段

Gartner 為零信任網絡通路定義了一個三階段政策，該政策通過預測、預防、檢測和響應攻擊來提供自适應安全态勢。

攻擊防護：攻擊防護是一種防禦性安全态勢，可将惡意攻擊拒之門外。例如，可以部署網絡分段和微分段等隔離技術來強化網絡邊界。攻擊預防還包括在攻擊發生之前對其進行預測，以及在威脅發生後快速發現、遏制和補救。

通路保護：通路保護是一種通路管理形式，旨在讓受信任的流量進入。設定通路安全政策、監控使用和管理使用的組合建立了一個自适應通路保護模型。

持續可見性和評估：為了保持遵守和執行零信任網絡通路政策和系統，組織應實施程式以對其環境進行持續可見性和評估。這些程式是實施 ZTNA 态勢、對其進行監控和調整的持續循環。

零信任與 SASE 有何不同？

安全通路服務邊緣 (SASE)是當今流行的另一種安全架構，它也被開發用于提供對應用程式和資料的安全通路。SASE 最初在 2019 年被 Gartner 定義為“包括軟體定義廣域網 (SD-WAN)、安全 Web 網關 (SWG)、雲通路安全代理 (CASB)、防火牆即服務 (FWaaS)和零信任網絡通路 (ZTNA) 作為核心能力，能夠識别敏感資料或惡意軟體，能夠以線速解密内容，并持續監控會話的風險和信任級别。” 換句話說，SASE 是一個包含零信任網絡架構的總稱。

SASE 和 ZTNA 都是現代安全架構的重要組成部分，但它們是不同的。SASE 提供基于強大數字身份的全面、多方面的安全架構，無論使用者或機器位于何處。另一方面，ZTNA 是 SASE 的一個組成部分。零信任僅關注資源通路政策和控制。當它們一起使用時，它們可以提供更全面的安全解決方案，能夠有效地保護當今的現代 IT 生态系統。

如何建構零信任架構？

歸根結底，ZTNA 是一種強大的身份安全政策，可降低風險，使黑客和惡意内部人員的機會更少。而且這樣做不會損害使用者體驗。為了實施這種安全方法，組織需要嚴格控制每個人和機器身份的通路和權限。

但是，如何建構零信任架構是複雜的，因為已經很複雜的環境進一步擴充，包括使用 VPN 和移動裝置的遠端從業人員、部署在混合和多雲環境中的雲服務、開發人員在 DevOps 環境中生成代碼、所有部門使用機器人流程自動化 (RPA)、廣泛部署的連接配接到系統的 IoT 裝置以及許多其他企業應用程式。負擔過重的 IT 團隊幾乎不可能有效地管理所有這些身份并有效地防止使組織面臨資料洩露和盜竊的故障。

這就是 PKI 迎接挑戰的地方。對于零信任，沒有比使用公鑰基礎設施 (PKI) 建構的數字證書提供的數字身份更強大、更易于使用的身份驗證和加密解決方案了。2020 年 2 月，美國國家标準與技術研究院 (NIST) 釋出了“零信任架構”報告，其中 NIST 将 PKI 描述為零信任架構的重要組成部分。

您可以使用數字證書建構零信任解決方案的一些方法包括：

用使用者身份證書替換密碼

自動頒發和更新 SSL/TLS 證書

使用 S/MIME 證書保護電子郵件

通過文檔簽名保護關鍵工作流程

此外，與多因素身份驗證 (MFA) 或雙因素身份驗證 (2FA) 相比，數字證書具有顯着優勢。誠然，MFA 和 2FA 旨在通過引入諸如 SMS 推送通知、一次性密碼 (OTP) 或硬體令牌等額外步驟來增強身份驗證安全性，而不僅僅是使用簡單的密碼。但與 MFA 不同的是，數字證書為在零信任網絡架構中驗證和保護身份提供了至關重要的好處，包括不易被盜的基于加密的憑據、部署用于任何身份用例而不僅僅是使用者、可擴充的配置和管理、不會影響使用者體驗，并降低總擁有成本 (TCO)。

本文翻譯自：https://sectigo.com/resource-library/what-is-zero-trust-network-architecture

聲明：本文相關資訊來自sectigo.com，版權歸作者所有，轉載目的在于傳遞更多資訊。如有侵權，請聯系本站删除。