什么是零信任？

• IAM 词汇表
• 什么是零信任？

零信任是一个现代安全框架，它消除了隐式信任，要求所有人类用户和设备都经过持续显式验证，并严格限制对网络系统和数据的访问。零信任不关注用户从哪里登录，而是关注他们的身份。

零信任的核心原则是什么？

零信任基于三个核心原则：

1. 假定泄露。 尽管有最好的安全防御措施，最终还是会发生泄露。您网络上的任何用户（人或设备）当前就可能遭到入侵。您可以采取措施最大限度地减少“爆炸半径”，例如网络分段、确保端到端加密以及使用智能分析来识别潜在威胁。

2. 显式验证。 所有人和机器都必须证明自己是其所说的身份，然后才能访问您组织的网络以及其中包含的所有系统、应用和数据。

3. 确保最低特权。 登录到网络后，用户只能具有执行其工作所需的最低网络访问权限，而不能拥有更多。零信任部署始终包含基于角色的访问控制 (RBAC) 和最低特权访问。

零信任安全的工作原理是什么？

零信任的工作原理是消除隐式信任。在过去，网络安全模型隐式信任网络外围内的所有用户和设备。当网络组件和用户几乎完全位于本地时，这种方法效果很好。但是，由于广泛采用了云计算以及最近的远程工作，“网络外围” 已不复存在。现在，绝大多数组织都在使用由本地“私有”云和至少一个公共云组成的混合数据环境，用户可以随时随地连接到组织资源。

即使用户通过身份验证并被允许进入网络，他们也无法自由行动，因为任何用户都可能遭到入侵。用户在网络中移动时将执行身份和设备验证，每个用户只能访问执行其工作所需的资源。

在零信任安全模型中，网络分段是最低特权访问和 RBAC 的补充，包括对特别敏感的数据资产进行“微分段”。其理念是，虽然网络作为一个整体没有外围，但它应该被划分为用于特定工作负载和数据的更小网段，每个网段都有自己的入口和出口控制。零信任微分段的一个常见用例是将受监管的数据（例如员工税收数据和受保护的健康信息）与非监管数据进行分隔。

通过限制网络访问级别、对网络进行分段和微分段以及严格控制特权用户的数量，零信任限制了威胁行为者危及敏感系统和数据的能力。

零信任的好处是什么？

零信任有诸多好处，这就是为什么有这么多的组织都采用它的原因。

• IT 和安全管理员可以了解整个数据环境中的所有用户、系统和设备。他们可以看到谁正在连接网络，从何处访问以及正在访问什么。
• 由于零信任使人员、应用和服务能够安全地进行通信，即使是跨不同的网络，从而让用户获得更大的自由度和灵活性。即使是使用自己的设备，他们也可以从家中或其他远程位置安全地进行连接。
• 通过显式验证用户和设备，零信任大大降低与密码相关的网络攻击的风险。基于角色的访问控制和特权访问管理可最大限度地降低在发生泄露时特权升级的风险。
• 零信任身份验证机制、基于角色的访问控制和网络分段/微分段支持合规计划，从而减少合规审核期间发现的问题。

零信任安全如何实施？

实施零信任安全策略的最大挑战之一是没有通用的实施标准。许多组织采用了 NIST 特别出版物 800-207 中提出的七步流程：

1. 识别用户

   这包含人类用户和非人类身份，例如服务帐户。NIST 指出，包括 IT 管理员和开发人员在内的特权用户需要特别审查，因为这些用户可能可以不受限制地访问数字资源。在零信任框架中，即使是特权帐户也应该是最低特权，并且必须监视和记录帐户活动。

2. 识别和管理连接到网络的所有资产

   识别和管理连接到组织网络的所有资产是成功部署零信任的关键。这包括：

   • 笔记本电脑、移动设备、物联网设备和其他硬件组件。
   • 数字工件，例如应用和数字证书。
   • 非组织所有但可连接到其网络基础设施或访问网络资源的设备。

   NIST 承认可能无法进行全面的资产盘点，因此组织还应确保他们能够“快速识别、分类和评估企业拥有的基础设施新发现的资产”。

   除了对资产进行编目之外，此步骤还包括配置管理和监视，因为观察资产当前状态的能力是零信任身份验证过程的一部分。

3. 识别关键流程，评估其风险并识别零信任“候选者”

   识别、分级和评估组织业务流程和数据流的风险，包括它们对组织使命的重要性。这将有助于了解哪些流程是零信任部署较好的初始候选流程。NIST 建议从依赖基于云资源和/或由远程工作人员使用的流程开始，因为这将带来最直接的安全改进。

4. 为“候选者”制定零信任策略

   这是第 3 步的延续。识别要迁移至零信任的资产或工作流程，然后识别资产或工作流程使用或影响的所有上游和下游资源。这有助于最终确定初始的零信任迁移“候选者”，并确保其所应用的最低特权和其他策略在不妨碍工作流程的情况下实现最大的安全性。

5. 识别并选择工具集/解决方案

   市场上有许多兼容零信任的解决方案，但并非所有解决方案都适合您的特定数据环境和业务需求。NIST 建议在选择零信任工具时考虑以下要点：

   • 解决方案是否要求在客户端资产上安装组件？ 这可能会限制业务流程。

   • 在本地存在业务流程资源的情况下，解决方案是否有效？ 某些解决方案假定请求的资源位于云端（称为南北流量），而不是企业边界内（东西流量）。这在混合云环境中将造成问题，其中执行关键功能的遗留业务线应用可能需在本地运行，因为将它们迁移到云端不可行。

   • 解决方案是否提供记录交互以进行分析的方法？ 零信任访问决策在很大程度上取决于流程相关数据的收集和使用。

   • 解决方案是否为不同的应用、服务和协议提供广泛的支持？ 某些解决方案可能支持广泛的协议（SSH、Web 等）和传输（IPv4 和 IPv6），但其他解决方案可能仅适用于 Web 或电子邮件。

   • 解决方案是否需要对现有工作流程进行更改？ 某些解决方案可能需要额外的步骤来执行给定的工作流程，这可能要求组织对工作流程进行更改。

6. 开始初始部署和监视

   NIST 建议企业首先考虑在“监视模式”下实施零信任，以便 IT 和安全团队能够确保策略和流程有效且可行。此外，一旦确定了基线用户和网络活动，安全团队将能够更好地识别未来的异常行为。

7. 扩展您的零信任体系结构

   在初始推出零信任之后，是时候迁移下一组候选者了。此步骤是持续的；每当组织的数据环境或工作流程发生变化时，都必须重新评估零信任体系结构并进行相应的调整。

零信任安全如何实施？

零信任和零知识是完全不同但互补的概念。如果说零信任的格言是“不信任任何人”，那么零知识的格言就是“我们对您的数据一无所知，因为我们无法访问它”。

零信任通过持续监视和验证用户和设备是否具有正确的属性和权限，确保只有已经过身份验证的用户才能访问网络资源和数据。

零知识使用独特的加密和数据隔离框架，使 IT 服务提供商无法了解其服务器上存储的内容。Keeper 是一家零知识安全提供商，我们的所有产品均使用零知识体系结构构构建。这意味着：

• 数据的加密和解密是在设备层次（而不是服务器）进行。
• 应用从不存储纯文本（人类可读）数据。
• Keeper 的服务器从不以明文形式接收或存储数据。
• 解密和加密数据的密钥来自用户的主密码。
• 多层加密提供用户、组和管理员级别的访问控制。
• 数据共享使用公钥加密技术进行安全的密钥分发。
• 数据在传输和存储于 Keeper 的数字保管库之前，会在用户设备上进行加密。当数据同步到另一设备时，数据将保持加密，直到在另一设备上解密。

零知识通过限制远程数据泄露的“爆炸半径”来支持零信任。在可能性极低的 Keeper 遭到入侵的情况下，威胁行为者将完全无法访问客户保管库中的内容，因为即使我们也做不到！