通常情況下,企業(yè)和機(jī)構(gòu)對零信任的最大誤解就是必須全面部署,在系統(tǒng)中的所有內(nèi)容都集成后才能實(shí)現(xiàn)收益,但事實(shí)并非如此。阻礙企業(yè)實(shí)施零信任模型的主要障礙是“技術(shù)債”(指為了快速部署技術(shù)系統(tǒng)而暫時做出的妥協(xié)),IT環(huán)境中有太多的“技術(shù)債”需要在實(shí)施零信任之前解決。
近日,美國總統(tǒng)拜登簽發(fā)了業(yè)界期待已久的行政命令(EO),旨在采用“大膽的舉措”提升美國政府網(wǎng)絡(luò)安全現(xiàn)代化、軟件供應(yīng)鏈安全、事件檢測和響應(yīng)以及對威脅的整體抵御能力??偨y(tǒng)令提出六大舉措:
隨著互聯(lián)網(wǎng)的持續(xù)發(fā)展,便捷的共享方式極大地提高了企業(yè)的生產(chǎn)力和工作效率,但隨之也給企業(yè)內(nèi)網(wǎng)帶來了極大的安全隱患。企業(yè)內(nèi)網(wǎng)承載大量的核心資產(chǎn)和機(jī)密數(shù)據(jù),一旦受到攻擊可能會造成大量損失,因此,如何通過零信任內(nèi)網(wǎng)安全解決方案保障企業(yè)數(shù)據(jù)安全,加強(qiáng)企業(yè)信息化建設(shè),是提高企業(yè)信息安全管理水平的關(guān)鍵。
隨著互聯(lián)網(wǎng)+的深入普及和信息技術(shù)的變革,越來越多的企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)得以飛速發(fā)展,業(yè)務(wù)類型越來越多,包括移動業(yè)務(wù)、電商業(yè)務(wù)、網(wǎng)站信息業(yè)務(wù)等,服務(wù)用戶群體對象越來越多,包括手機(jī)用戶、PC用戶、社交用戶等,網(wǎng)絡(luò)安全邊界在不斷擴(kuò)展的同時變得模糊甚至消失,企業(yè)的網(wǎng)絡(luò)安全問題隨著業(yè)務(wù)的發(fā)展而急劇增加,互聯(lián)網(wǎng)安全風(fēng)險管控稱為企業(yè)管理的重要部分,其面臨的風(fēng)險問題主要包括
隨著信息化技術(shù)的不斷發(fā)展,企業(yè)對于員工互聯(lián)網(wǎng)訪問行為的安全性和管理性要求不斷提升。目前常見的技術(shù)包括Zero-Trust Network Access (ZTNA)、Secure Web Gateway(SWG)等,但在實(shí)際應(yīng)用中,這兩種技術(shù)手段既有相似也有不同,本文將著重對這兩種技術(shù)手段進(jìn)行介紹。
零信任的概念出現(xiàn)的比較早,進(jìn)入國內(nèi)也就近幾年的事,業(yè)界對這一直頗有爭議: 第一種說法:零信任沒有方法論,沒有理論依據(jù); 第二種說法:零信任到底是否就是沒有信任; 第三種說法:有了零信任企業(yè)業(yè)務(wù)是否真的安全了?
零信任的概念由市場研究機(jī)構(gòu)Forrester在2010年最先提出,后來Gartner和Forrester對零信任的概念、應(yīng)用場景和遷移方式又進(jìn)行了完善和補(bǔ)充。去年開始,疫情帶動的大量遠(yuǎn)程辦公和遠(yuǎn)程教育,給我們傳統(tǒng)的安全體系帶來了很多新的挑戰(zhàn),零信任安全的理念也被大家所重視起來。
John Kindervag 在 Forrester 創(chuàng)立了“零信任”一詞。零信任后來成為一個術(shù)語,用來描述各種網(wǎng)絡(luò)安全解決方案。 我們要搞清楚零信任是不是就表示不信任,就要了解是誰不信任誰?在計算機(jī)網(wǎng)絡(luò)里的任何操作可以分為資源訪問者和資源提供者,按這里語義套進(jìn)去就是資源訪問者不信任資源提供者。那么問題來了,如果不信任那么資源提供者怎么把數(shù)據(jù)給資源訪問者呢,整個網(wǎng)絡(luò)就不存在了,是個悖論!
零信任下的網(wǎng)絡(luò)安全被普遍看作是未來替代VPN的技術(shù),為VPN解決了認(rèn)證后受保護(hù)資源的不可見性,而終端的安全才是零信任下的網(wǎng)絡(luò)安全方案需要解決的重點(diǎn)
零信任框架是目前比較前沿的技術(shù),相比之下,自適應(yīng)安全框架更加超前,雖然兩者提出的時間相差無幾,但它們之間有著千絲萬縷的關(guān)系。