Zero Trust模型首次由ForresterResearch于2010年与美国国家标准与技术研究院(NIST)合作推出,虽然成为今年的关注焦点但却不是一个新概念。零信任模型不是使用“信任验证”的传统指导方法,而是将“永不信任,始终验证”作为其指导原则。零信任模型基于以下三个支柱:
- 确保所有资源安全地访问,无论处在任何位置(换句话说,不再有受信任区域)。
- 应用最小权限策略,并严格执行访问控制。在Zero Trust中,所有用户最初都是不受信任的。
- 检查所有流量并记录。即使源自LAN的流量也被认为是可疑的,并且被记录和分析,就像它来自WAN一样对待。
零信任之路始于身份
实施Zero Trust不需要对现有的网络架构(如Google执行的架构)进行全面的重新设计,可以通过逐步修改当前的基础设施来实现。从技术角度来看,Zero Trust框架包含旨在保护网络、数据、工作负载、人员/工作人员和设备的各种组件,同时提供对安全威胁的可见性、自动化和协调修复以及通过API进行互连。
一个驱动原则应该是网络攻击者访问敏感数据的最简单方法是破坏用户的身份。事实上,根据Forrester Research的调查数据,80%的安全漏洞涉及特权凭证。Gartner表示,65%的企业存在允许不受限制、不受监控和共享使用特权帐户等问题。
在组织开始实施以身份为中心的安全措施之前,帐户泄密攻击将继续为数据泄露提供完美的伪装。对于大多数组织而言,Zero Trust的路径应该从身份开始。实际上,Gartner建议将Privileged Access Management放在组织的安全项目列表之上。
承认网络中已存在不受信任的参与者,涉及基于授予最小特权访问权限而转向安全模型。此零信任权限方法实现以下元素: