零信任是一种满足现代工作环境复杂安全需求的安全策略。这种安全设置非常适合保护依赖云计算、远程员工和分布式系统的公司。本文介绍了您需要了解的有关零信任安全模型的所有信息。我们解释了零信任的工作原理、它带来的好处以及为什么这种安全策略是保护现代企业的最有效方式。

零信任是一种安全策略，公司不会自动信任网络边界内外的任何内容。相反，系统会在授予访问权限之前验证每个用户和设备。

零信任的目标是保护公司免受高级网络安全威胁和数据泄露。对每个设备、用户和应用程序的信任持续验证使公司能够停止：

零信任可能包括连续身份验证概念，但不是CA的一种形式。零信任的其他术语是零信任网络和零信任架构。

零信任在允许连接到网络上的任何资产之前检查每个访问请求。安全控制根据以下属性验证访问权限：

一旦安全控制允许用户或设备进入网络，访问就不是无限期的。系统会定期验证用户身份，以确保系统得到持续保护。

零信任安全策略直接与工作负载相关联。安全性尽可能靠近资产。结果是一个保护系统随工作负载移动并在所有环境中保持一致。

零信任不仅仅关注预防。如果攻击者突破边界、利用漏洞或贿赂内部人员，黑客对有价值数据的访问权限将受到限制。在攻击者有足够的时间造成破坏之前，系统会检测并响应异常行为。

零信任结合了一系列保护系统的原则和技术，包括：

自动化是零信任模型的一个重要方面。人类无法跟上在企业层面实施零信任所需的监控事件量。自动化使安全系统保持运行并执行24/7策略。

自动化尽可能多的补救、监控和威胁检测系统。这样的策略可确保最佳保护并使团队腾出时间来处理更多关键业务任务。

传统的网络安全依赖于城堡和护城河的概念。城堡和护城河安全侧重于防止来自网络外部的访问，同时信任边界内的每个用户和设备。

这种安全设置有几个缺陷，使其对当今的工作负载无效：

城堡和护城河的概念不再能够保护企业级网络。零信任安全提供了适合现代企业系统的功能：

零信任是保护现代业务环境的理想选择，它结合了公共云和私有云、SaaS应用程序和DevOps管道。零信任安全模型保护：

数据是网络攻击最常见的目标，因为黑客通常会追求：

零信任是保护企业级网络中数据的最有效方法。访问信息需要彻底验证，因此每条有价值的数据都有强大的保护层。

零信任模型在检测可疑行为方面表现出色。所有用户、应用程序和服务都是恶意的，在系统验证其身份之前无法进行通信。零信任通过发现整个网络的活动并不断分析资产的通信方式来降低风险。

零信任模型提供了保持云和容器环境安全所需的可见性和控制。如果工作负载验证失败，零信任会阻止它在系统上的任何位置进行通信。

传统的安全控制通常会减慢业务运营。阻塞的端口和关闭的主机会阻止员工访问数据，导致整个系统出错并减慢进程。

零信任模型不依赖于降低系统速度的静态网络结构。保护跟随工作负载，而不是从安全检查点操作。阻塞和关闭是孤立发生的，不会影响系统的其他部分。

零信任还提供了对基础架构中所有用户、设备、数据、服务器、应用程序和容器的清晰概览。

5.移动网络资产时具有更好的灵活性

团队经常跨基础架构移动应用程序、数据和IT服务。在零信任模型之前，在环境之间移动资产需要团队在新位置手动重新创建安全策略。

零信任消除了这个耗时且容易出错的过程。该团队集中管理应用程序和数据安全策略，而自动化工具则按需迁移策略。

零信任背后的核心概念是网络内外都有攻击者。系统不应该自动信任用户或设备，因此每次访问尝试都是威胁，直到验证确认不是这样。

用户重新认证是零信任的重要规则。每次用户访问系统时，安全控制都应该重新验证访问资源的权限。

将用户限制为他们履行职责所需的访问权限。有限访问可最大限度地减少每个用户对网络敏感部分的暴露，并降低攻击面。单个受损帐户无法使攻击者访问大量数据。

网络分段?是将网络分成具有单独安全控制的小区域的做法。有权访问一个区域的用户或程序在没有单独授权的情况下无权访问另一个区域。

分段允许使用严格的访问控制策略来保护单个工作负载。如果发生漏洞，网络分段会限制横向移动并提高系统弹性。

MFA要求用户提供多个证据来验证其身份。MFA的一个典型应用是2因素授权(2FA)。使用2FA，用户必须输入密码并输入发送到另一台设备的代码。

MFA对于任何零信任安全方案都是必须的，因为它可以限制?暴力攻击。

零信任需要对设备访问进行严格控制。系统必须：

严格的设备访问控制进一步减少了网络的攻击面。

持续检查用户、设备和活动对于零信任至关重要。公司应该使用自动化工具来监控每个网络呼叫、文件访问和电子邮件是否存在恶意活动。

监控和记录有助于快速识别：

实时监控还限制?了突破时间，这是攻击者访问第一台机器和他们开始横向移动到其他系统之间的关键窗口。

即使在零信任环境中，数据泄露也是不可避免的。通过以下方式准备攻击：