由于社会发展,产生多种IT 环境、云环境或混合环境,因此越来越需要遵循零信任安全原则,即“永不信任,持续验证”。然而,在实施零信任解决方案过程产生的困惑,令企业误以为,如果没有全新的零信任安全解决方案,就无法实现零信任。
然而事实是,零信任是供用户遵循的策略,而非其所购买的技术。本文简单介绍零信任,也让大家了解:企业可能比其想象的更接近实现零信任。
零信任:入门知识
早在2010年,John Kindervag 在 Forrester 担任分析师时就创造了零信任。然而,零信任在过去几年才真正受到关注,这是因为以前企业的安全重心是“边界安全”(即重点保护企业内部网络边界),随着社会发展,云环境、远程工作等等逐渐成为了主流。目前,大多数企业使用云基础设施、拥有远程用户,企业网络与外部世界的界限不再清晰,传统的基于边界的安全方法已不足以应对。
现代 IT 基础架构的复杂性,也导致边界模糊。通常,企业使用多个云提供商的服务(可降低成本存储)、SaaS(软件即服务)应用,以及供软件测试和开发的基础设施。员工和外部用户通过自己的笔记本电脑或移动设备远程连接公司资源。如果公司有总部和远程分支机构,则会有更复杂的IT架构。
零信任,取消了基于位置或所有权而赋予用户、设备或其他资产的默认信任,取而代之的是“永不信任,持续验证”。因此零信任指,基于身份认证和授权重新构建的访问控制的信任