通过零信任安全保护您的组织

新的零信任安全框架

从历史上看，大多数组织使用“城堡和护城河”模式来确保网络安全。默认情况下，位于网络边界内的用户和设备受信任，位于网络边界外的用户和设备则不受信任。当多数或所有设备和员工都位于本地时，可确保具有明确定义的网络边界，这种模式是有意义的。

在过去十年中，云计算和移动性从根本上改变了组织的数据环境，削弱了“城堡”，并模糊了网络边界。对“城堡和护城河”的最后一击是新冠疫情，组织被迫迅速扩展网络和安全能力，以支持广泛分布的远程工作。

“网络边界”不仅模糊，实际已不复存在。城堡成为废墟，护城河已干涸，组织开始转向现代零信任网络访问。

了解零信任

零信任安全框架围绕三个核心原则：假定入侵、显式验证和确保最低特权访问。

零信任并非隐含信任网络边界内的所有用户和设备，而是都不信任。零信任假定所有用户和设备都可能存在威胁，因此无论是人还是机器都必须经过验证才能访问网络。登录到网络后，用户只能具有执行其工作所需的最低网络访问权限，而不能拥有更多。

如果部署得当，零信任模型可为 IT 管理员提供所有用户、系统和设备的全面可见性，这有助于确保遵循行业和监管要求，并有助于防范因用户凭据泄露而导致的网络攻击。

为什么 VPN 和零信任不能混为一谈

当新冠疫情来袭时，组织被迫迅速扩展其网络和安全能力，以支持广泛分布的远程工作人员。由于此变化是突然发生而没有预先通知，许多组织只是部署了更多他们已经在用的方案。通常，这意味着使用 VPN 来保护远程连接。

当远程访问仅限于特定的用例时，使用 VPN 就足够好了，但是当组织试图进行扩展以满足全部员工的需求时，它们的缺点很快就变得明显。

VPN 并不能很好地进行扩展。它们也很贵，并且存在延迟、可靠性和可用性问题的困扰。它们需要大量的管理开销，而且对于最终用户来说极难使用。也许最糟糕的是，它们多数都不支持零信任网络访问。

如何实施零信任

没有通用的“零信任实施”标准，知道从哪里开始也具有挑战性。然而，以下最佳做法较为普遍，可帮助您规划您的组织的零信任之旅。

• 长期致力于零信任 – 技术、工作流程和威胁环境在不断变化，并且变得越来越复杂。零信任体系结构也是如此。
• 确保高层管理人员参与 – 所有级别的领导层都必须参与进来，并坚定地致力于实施零信任。CRA 的一项研究发现，在实施零信任方面非常成功的组织报告说都得到了高层管理人员的支持，而缺乏支持的组织则处于挣扎之中。
• 从小范围开始 — 开始零信任部署时，首先迁移低风险的业务资源，在团队对流程有更多经验后再继续迁移更关键的资源。
• 首先专注于 IAM — CRA 发现，身份和访问管理 (IAM) 是极成功的组织最常实施的零信任组成部分，86% 的组织在其 IAM 流程和控制中应用了零信任策略。