什么是城堡与护城河安全模型？

“城堡与护城河”安全模型禁止任何网络外部人员访问组织数据，将外部威胁隔绝在外。在此模型中，“城堡”指代包含敏感数据的组织内部系统或网络，而“护城河”则代表阻挡外部威胁入侵的边界防御。其核心理念，护城河外的任何人员都无法进入城堡，但一旦进入，对人员的安全控制就会减少。该模型更侧重外部防火墙与防御措施，而零信任安全架构则摒弃了城堡与护城河模型，因其要求所有用户和设备在访问网络、系统或数据时，必须持续进行显式验证。

城堡和护城河与零信任：有什么区别？

零信任框架作为消除隐式信任的安全模型，默认网络内部和外部均可能存在安全风险。此模型要求每位用户与设备必须通过显式身份验证，方可获取数据访问权限，无论其位于网络内部还是外部。反观城堡与护城河架构，其默认网络内部的用户是可信的。

虽然这两种安全模型均被广泛采用，但零信任模型具备更高安全性，因为当今网络攻击手段正不断升级，而组织的网络边界却日益模糊化。

城堡与护城河模型如何运作

城堡与护城河模型的运作基于三大主要原则。

高强度边界防御（“护城河”）：这包含网络边界安全措施，如防火墙、入侵检测系统，以及对外部连接的严格访问控制。
相对较弱的内部安全控制（位于“城堡”内）：这意味着一旦进入网络内部，与严格的边界控制措施相比，不同内部资源之间的安全检查点和屏障较少。虽然用户仍需要获取适当权限，但内部安全架构的严格程度低于边界防御。
明确划分网络“内外”：这意味着从根本上区别处理内部与外部流量。内部流量默认更具可信度，而外部流量则需接受严格审查。

城堡与护城河模型存在的问题

以下是与城堡和护城河安全模型相关的一些最大挑战。

该模型已经过时

该模型的一大弱点在于，它依赖单一边界来保护整个网络。随着网络威胁日益复杂，网络犯罪分子可利用社会工程策略、凭据窃取、定向恶意软件攻击及安全漏洞更轻松地突破传统边界。一旦他们突破护城河，即可在网络内部横向移动，获取敏感数据。这种依赖单层防御的框架使边界防护相关性降低且越发不安全。

云环境增加实施难度

云计算瓦解固定边界概念，使得城堡与护城河模型难以实施。在云环境中，组织的数据和资源分布于多个位置，用户无论身处物理网络内外皆可访问。这种云端资源分布式存储与远程访问的特性使固定边界的防护失效，导致全面保护企业数据的难度剧增。

易受凭据窃取攻击

网络犯罪分子可通过网络钓鱼攻击或数据泄露等手段窃取登录凭据，从而绕过边界防御。一旦成功入侵某个授权账户，攻击者便可获得网络访问权限；且因身处网络内部，他们在技术上显示为“可信”。这意味着，这些攻击者能够在不触发警报的情况下访问敏感信息，这样的恶意活动更难以检测。

容易受到网络攻击

城堡与护城河模型主要侧重于阻截外部威胁，故而会忽视网络内部的漏洞。例如，该模型无法保护组织免受内部威胁，即受信任的授权用户可能会因疏忽或蓄意行为而破坏安全。这些内部人员已经身处网络内部，因此他们无需突破边界防御。

需要持续监控

鉴于网络内部和外部均可能存在威胁，组织必须实施持续监控，以识别任何可疑活动。尽管护城河可以阻隔多数外部威胁，但总有攻击者能够找到办法潜入城堡。一旦侵入，他们便可访问敏感数据，造成危害。因此，如果缺乏持续监控，组织可能无法察觉安全入侵的迹象。