摘要：零信任架构是指一种基于任何网络元素都不可信任的原则的安全方法。零信任拒绝访问试图与架构交互的用户、设备和应用程序，除非它们被明确授予访问权限;访问权不断得到验证。在默认情况下，请求从不受信任，即使它们之前已经过验证或获得了对企业网络的访问权限。

   随着运营环境变得更加复杂，网络攻击面继续扩大，增加了黑客造成广泛破坏的机会。
　　
　　什么是零信任?
　　
　　零信任架构是指一种基于任何网络元素都不可信任的原则的安全方法。零信任拒绝访问试图与架构交互的用户、设备和应用程序，除非它们被明确授予访问权限;访问权不断得到验证。在默认情况下，请求从不受信任，即使它们之前已经过验证或获得了对企业网络的访问权限。
　　
　　像“城堡”和“护城河”这样的传统安全模型使用了一个过时的假设，即企业网络边界内的所有内容都应该是完全可信的。这导致了零信任，因为这种有问题的信任意味着任何访问网络的人都可以自由横向移动，并且由于缺乏细粒度的安全控制，都能访问敏感数据。
　　
　　零信任的优缺点
　　
　　零信任模型可以加强企业中IT和安全的支柱。然而，尽管提供了许多优势，但它也面临着一些挑战。
　　
　　(1)零信任具有的优点
　　
　　零信任具有很多的优点，其中包括：
　　
　　·数据和资源的分割
　　
　　数据和资源的适当分段可以实现强大的访问策略。零信任通过将企业的网络分成多个分区来保护关键IP免受未经授权的访问。这也减少了攻击面，同时防止威胁通过网络横向移动。
　　
　　·存储和传输中的数据安全
　　
　　如果企业未能保护传输和存储中的数据，则通过分段减少攻击面和限制数据访问并不能保护企业免受数据泄露、安全漏洞和拦截。可以在零信任采用中包括自动备份、端到端加密和散列数据等方法，因为零信任在存储和传输过程中保护数据。
　　
　　·安全编排
　　
　　安全编排涉及确保所有安全解决方案和措施能够很好地协同工作，并涵盖所有可能的攻击媒介。找到正确的配置以优化效率，同时减少解决方案之间的冲突可能具有挑战性。理想的零信任模型将所有元素组织起来，相互补充，不留任何空隙。
　　
　　·强大的用户识别和访问策略
　　
　　零信任模型通过在提供访问权限之前验证谁在请求访问、请求的情况以及访问环境的风险来为应用程序和数据提供保护。这可能涉及添加额外的身份验证层或限制资源功能。
　　
　　(2)零信任面临的挑战
　　
　　无论上述优势如何，零信任模型都面临着所有企业在计划时都应考虑的一些挑战：
　　
　　·增加管理用户的种类
　　
　　近年来，企业的员工将大部分工作时间花费在工作场所上是常态。如今，远程工作和混合工作模式已经占据了主导地位。除了劳动力之外，客户和第三方供应商等用户通常需要访问企业的数据和资源。这种更多种类的接入点意味着零信任框架需要为每个团队指定特定的策略，而这是一个需要不断更新的潜在复杂过程。
　　
　　·建立的时间和精力
　　
　　现有网络中的策略重组是一项挑战，因为在向零信任框架过渡期间需要网络正常运行。有时从头开始构建新网络更容易，尤其是当遗留系统被证明与零信任模型不兼容时。
　　
　　·要管理的设备更加多样化
　　
　　自带设备政策和物联网设备越来越多地为企业及其员工定义当今的技术格局。显然，支持混合工作的企业必须监督各种各样的工作设备。这意味着现在必须根据零信任要求的特殊性来跟踪和保护大量潜在的通信协议、操作系统以及其他设备和应用程序属性。
　　
　　·增加应用程序管理的复杂性
　　
　　在实施零信任策略时，还应考虑企业中用于人员和团队进行通信和协作的应用程序的数量。基于云的应用程序用途广泛，足以跨多个平台使用。但是，这种多功能性可能会引入更大的应用程序管理复杂性。
　　
　　零信任的未来发展趋势
　　
　　(1)零信任将提高安全态势管理效率
　　
　　与策略配置和管理相关的复杂性将随着安全工具的智能化及其对IT的授权而降低。零信任安全态势管理将更快、更有效地检查软件补丁丢失、配置漂移和安全策略漏洞等风险。
　　
　　(2)零信任原则将为软件和DevOps流程提供信息
　　
　　随着技术的发展，零信任通过现代网络和应用程序管理工具进行的实时策略执行和安全信号验证将提供更有效的数据保护。企业将拥有实施零信任框架的能力，而无需改造应用程序。
　　
　　(3)通过跨安全支柱的更深入集成简化策略管理
　　
　　为了确保安全策略和控制的整体保护和一致执行，零信任的范围正在朝着跨安全支柱的策略统一方向发展，而不是专注于单独保护支柱。政策的统一将扩大到涵盖更多的零信任支柱，以允许安全团队自动执行，这将加强他们的网络安全态势。
　　
　　(4)自动响应和威胁情报，以增强安全计划和团队的能力
　　
　　如上所述，威​​胁参与者正变得越来越广泛，黑客技术也越来越复杂。威胁情报在跨支柱关联安全信号方面的作用变得越来越重要。为了解决这个问题，零信任与集成的XDR协同工作将帮助企业获得端到端的可见性、自动响应威胁，并增强安全团队的能力。
　　
　　零信任和软件定义网络
　　
　　随着快速的技术颠覆和转型定义了当今的商业格局，企业必须尽可能灵活以保持其竞争优势。但是，IT生态系统的扩展使业务的灵活性和敏捷性变得复杂。这推动了对软件定义网络的需求。
　　
　　在网络可扩展性挑战阻碍创新的情况下，SDN提供了一个潜在的解决方案，因为它有助于减少调整和适应不断变化的市场需求所需的时间。SDN也适用于难以快速创新的企业，因为它是一种集中的、基于策略的IT资产管理方法。此外，在企业因为担心出现重大漏洞而牺牲创新以专注于弹性的情况下，SDN为企业安全提供了实用性。
　　
　　在零信任环境中，安全性由软件定义的规则和策略实现。随着越来越多的企业将其网络基础设施迁移到云端和边缘，软件定义的网络将与零信任同步发展。
　　
　　以下是关于零信任和SDN的一些要点：
　　
　　(1)更大的企业安全选项
　　
　　零信任和SDN都为安全团队提供了更多选项来保护他们的企业，因为他们不断对抗恶意软件、勒索软件和各种黑客技术等威胁。基于虚拟和SaaS的Web应用程序防火墙预计将经历增长，因为它们在保护云计算工作负载方面发挥着越来越重要的作用。
　　
　　(2)软件定义的边界
　　
　　软件定义的边界和零信任都通过提供现代的网络安全方法避免了传统城堡和护城河固定边界技术的先天缺陷。由于软件定义边界适用于当今的云计算基础设施和混合工作模型，因此用户对软件定义边界的需求不断增加。软件定义边界的日益普及是因为它们能够使用户能够在其环境中创建可扩展、安全和轻量级的连接。
　　
　　(3)软件定义网络和物联网
　　
　　软件定义网络具有网络管理效率，使更多企业能够有效地实施5G基础设施。这为更多企业实施物联网开辟了巨大的机会。先进的SDN技术越来越多地在混合云系统中实施，以支持物联网和5G。随着这些发展导致复杂性呈指数级增长，零信任变得越来越重要。
　　
　　(4)SD-WAN和混合工作
　　
　　由于混合工作模式将继续存在，企业越来越多地通过实施软件定义的广域网(SD-WAN)解决方案来适应。由于这些SD-WAN解决方案提供了改进的宽带连接、更好地访问各种企业应用程序，并提高了应用程序性能，因此SD-WAN已在全球范围内发展。它们目前的增长还受到较低的运营成本和更大的稳定性的影响，而这种发展为零信任提供了更多的安全端点。
　　
　　编辑：Harris