前情提要

　　零信任架構提供了一種越來越流行的方法，可以在混合云、靈活工作和持續威脅行為者的世界中最大限度地減少網絡風險。

　　未來，使用數字技術來支持更靈活的工作實踐將越來越流行。盡管Twitter 和Facebook等科技巨頭通過向一些員工承諾他們可以永遠在家工作而成為頭條新聞，但對于大多數雇主來說，現實可能更加平淡。超過 60% 的企業 計劃支持混合工作場所，這將涉及員工一周的部分時間在家和幾天在辦公室。然而，這也將帶來新的網絡風險。

具體內容

　　好消息是，零信任模型就是為此而構建的。一項新的總統行政命令 已授權美國聯邦政府機構使用它，因而作為一種日益流行的方法，以最大限度地減少混合云、遠程工作和持續威脅行為者世界中的網絡風險 。

　　保護混合工作場所的挑戰

　　當今的 CISO 承受著巨大的壓力，需要保護敏感的 IP 和客戶數據免遭盜竊，保護關鍵業務系統免遭服務中斷。盡管安全支出不斷增加，但漏洞仍在繼續升級。如今，數據泄露的成本平均為每起事件近 390 萬美元，組織通常需要數百天的時間才能發現并遏制這些攻擊。

　　大規模遠程工作的出現，以及現在的混合工作場所，為威脅參與者提供了更多優勢。單位組織面臨來自多個方面的風險，包括：

　　分心的家庭工作者更有可能點擊網絡釣魚鏈接

　　遠程工作人員使用可能不安全的個人筆記本電腦和移動設備、網絡和智能家居設備

　　在家庭系統上運行的易受攻擊的 VPN 和其他未打補丁的軟件

　　配置不當的 RDP 端點，很容易被先前泄露或易于破解的密碼劫持。ESET 報告稱 ，2020 年第三季度 RDP 攻擊增加了 140%

　　訪問控制較弱的云服務（密碼不好且沒有多因素身份驗證）

　　為什么是零信任

　　2009 年，Forrester 開發了一種新的信息安全模型，稱為零信任模型，已獲得廣泛接受和采用。它是為這樣一個世界而設計的，在這個世界中，將所有安全資源放置在外圍，信任其中的所有內容的舊確定性不再相關。由于分布式工作和云無處不在，這就是我們今天生活的世界。

　　相反，零信任建立在“永不信任，始終驗證”的口號之上，以幫助減少違規的影響。在實踐中，存在三個基本原則：

　　這應該包括家庭網絡、公共 Wi-Fi 網絡（例如，在機場和咖啡店中）甚至內部部署的公司網絡。威脅行為者太堅定了，我們無法假設還有任何安全空間。

　　如果所有網絡都不受信任，那么用戶也必須如此。畢竟，您不能保證帳戶沒有被劫持，或者用戶不是惡意的內部人員。這意味著授予員工足夠的權限來完成工作，然后定期審核訪問權限并刪除任何不再合適的權限。

　　每天我們都會聽到有關新安全漏洞的消息。通過保持警惕的心態，組織將保持警惕，并以靈活的零信任心態繼續改善防御。違規是不可避免的——這是為了減少它們的影響。

　　零信任是如何演變的

　　當零信任于 2009 年首次創建時，它是一個非常以網絡為中心的模型。多年來，它已經發展成為一個完整的生態系統。其核心是必須保護的關鍵數據或業務流程。圍繞這四個關鍵要素：可以訪問數據的人員、存儲數據的設備、數據流經的網絡以及處理數據的工作負載。

　　現在 Forrester 添加了另一個關鍵層：自動化和編排以及可見性和分析。這些集成了支持零信任所需的所有縱深防御控制。

　　在這個新的迭代中，零信任是幫助降低混合工作場所風險的完美方式——在這種環境中，邊界是流動的，必須不斷驗證分布式工作人員的身份，并且網絡被分割以減少威脅傳播的可能性。在大流行的過程中也很明顯，在許多情況下，VPN 無法支持大量遠程工作人員——無論是在入站流量還是在補丁的出站部署方面。如果沒有修補和保護不足，它們本身也越來越成為目標。零信任是更好的長期選擇。

　　如何開始使用零信任 ？

　　最新數據表明，近四分之三 （72%） 的組織正在計劃 （42%） 或已經推出 （30%） 零信任。

　　事實上，您可能已經在使用許多入門所需的工具和技術。這些包括以下內容：

　　人員： 基于角色的訪問控制、多因素身份驗證、帳戶隔離。

　　工作負載： 大多數云提供商都在此處內置控件。組織應該使用這些來減少對不同工作負載的訪問。并執行良好的政策。

　　設備： 資產管理將幫助您了解您擁有什么。然后使用端點檢測和響應 （EDR）、基于主機的防火墻等來保護這些資產并防止橫向移動。

　　網絡： 微分段是這里的關鍵。將路由器和交換機等網絡設備與訪問控制列表 （ACL） 結合使用，以限制可以與網絡不同部分進行通信的人員和內容。漏洞管理也很重要。

　　數據：對您的數據進行分類，然后對靜態和傳輸中最敏感的類型應用加密。文件完整性監控和數據丟失預防也有助于保護數據。

　　最后，它是關于在頂部添加安全編排和自動化以及數據分析功能。這帶來了安全運營團隊有效完成工作所需的態勢感知能力。