零售行业面临的一些常见网络威胁包括勒索软件攻击、社会
更新于 2024 年 4 月 9 日。
零信任和零知识听起来相近,但它们指的是不同的网络安全概念。 零信任和零知识之间的主要区别在于,零信任于网络安全有关,而零知识与数据隐私有关。 两者对于保护敏感信息免于落入犯罪分子之手都非常重要。
继续阅读,详细了解零信任和零知识,两者之间的区别,以及组织为什么需要这两种功能。
什么是零信任?
零信任是一个网络安全框架,要求用户和设备持续进行身份验证。 它假设每个用户和设备都可能受到攻击,不会自动信任组织网络内外的任何人。 任何人或任何东西,人类或机器,都必须在访问网络之前持续进行验证和明确验证。
一旦用户或机器获得了对网络的访问权限,他们就获得了完成工作所需的最小网络访问权限。 他们无法访问网络内的任何其他内容。 如果用户帐户被盗,这种访问限制可以防止网络犯罪分子访问其他敏感信息。 零信任关注的不是用户登录的地点,而是其身份。
零信任由三个核心原则组成:
- 假设泄漏:零信任假设每个试图访问组织网络的用户或机器都可能受到攻击,并造成安全漏洞。
- 明确验证:由于零信任消除了隐式信任,用户和机器必须在每次需要访问时证明自己的身份。
- 确保最小特权:一旦用户或机器身份得到验证并获得访问权限,他们就获得了完成工作所需的最小网络访问权限,且不多不少。
什么是零知识?
零知识一种使用加密和数据分段来减轻数据泄漏影响的安全模型。 它通过在设备级别加密和解密数据,而非在公司服务器或云端。 使用零知识加密的应用程序不会以明文形式存储数据,服务提供商也绝不会收到明文形式的数据。 解密存储数据所需的密钥仅可在用户的设备上获取。 如果服务提供商被入侵,这可以确保所有存储的数据仍然得到加密和保护。
零信任和零知识之间的主要区别
人们经常混淆零信任和零知识,因为它们都提高了用户和组织的安全性。 然而,零信任的标语是“不信任任何人”,而零知识的标语是“我们一无所知”。 以下是零信任和零知识之间的主要区别。
Zero Trust | Zero Knowledge | |
---|---|---|
Definition | Focuses on network security through continuous and explicit authentication and authorization of all users | Focuses on data security through encrypting and decrypting data on the device level |
Method of protection | Verification | Encryption |
Responsibility | Organization | Service provider |
Implementation techniques | Multi-Factor Authentication (MFA), network segmentation and least privilege access | 256-bit symmetric encryption and transport layer security from the service provider |
组织为何既需要零信任,又需要零知识?
组织需要零信任和零知识来保护其敏感数据免遭未经授权的访问而被盗。 组织需要将其数据委托给使用零知识加密的服务提供商,确保组织是唯一可以访问数据的一方。
有些组织已过渡到同时使用云和本地基础架构的混合环境,因此零信任对保护其敏感数据而言至关重要。 借助零信任,组织得以洞悉其基础架构,并帮助降低网络攻击的风险。 组织可以通过零信任查看所有尝试访问其网络的用户和机器,他们试图进行网络时所处的位置及其试图访问内容。 此外,它还可以通过仅允许授权用户访问,并将这些授权用户的网络访问权限限制在最低程度,防止网络内部的横向移动,帮助降低网络攻击风险。
零知识可保护组织的数据,即使服务提供商被盗。 由于服务提供商无法解密组织的数据,入侵服务提供商并窃取数据的网络犯罪分子只能获得密文数据,而无法解密。 零知识还可以保护静态和传输中的数据,因为数据仅在用户的设备上加密和解密。 应用程序从来不会以明文存储数据,这意味着服务提供商看不到数据。 当数据同步到其他设备时,数据一直保持加密,直到用户在另一设备上解密。 传输中的数据通过传输密钥加密得到保护,这意味着未经授权的用户无法拦截并读取该数据。
Keeper® 如何实现零信任和零知识
Keeper Security 通过统一我们的密码管理、密钥管理和连接管理解决方案,而所有这些都是建立在我们的专有零知识加密模型之上的,从而实现零信任。 组织可以全面洞悉其整个数据基础架构。 Keeper 产品得到零知识加密的保护,确保只有组织可以访问其数据,其他人都不可以,Keeper 也不可以。 点击此处,详细了解我们的安全架构。
实施零信任和零知识的最佳方式是借助 KeeperPAM。 KeeperPAM™ 整合了 Keeper Enterprise Password Manager (EPM)、Keeper 密钥管理器® 和 Keeper Connection Manager® (KCM),为组织提供对内部每个特权用户和设备的完全可见性、安全性和控制。