零信任安全體系結構?傳統的網絡安全是基于防火牆的物理邊界防禦，也就是為大衆所熟知的“内網”防火牆的概念起源于上世紀80年代，該防禦模型前提假設是企業所有的辦公設備和數據資源都在内網，并且内網是完全可信的，下面我們就來聊聊關于零信任安全體系結構?接下來我們就一起去了解一下吧!

零信任安全體系結構

傳統的網絡安全是基于防火牆的物理邊界防禦，也就是為大衆所熟知的“内網”。防火牆的概念起源于上世紀80年代，該防禦模型前提假設是企業所有的辦公設備和數據資源都在内網，并且内網是完全可信的。

然而，随着雲計算、大數據、物聯網等新興技術的不斷興起，企業IT架構正在從“有邊界”向“無邊界”轉變，傳統的安全邊界逐漸瓦解。随着以5G、工業互聯網為代表的新基建的不斷推進，還會進一步加速“無邊界”的進化過程。與此同時，零信任安全逐漸進入人們的視野，成為解決新時代網絡安全問題的新理念、新架構。

零信任就是讓企業收回安全戰場控制權，控制網絡接入的身份、對象、地點和時間，從内而外地施行控制。零信任将成為下一代網絡安全架構。因此，在零信任項目實施前，用戶需要向安全廠商問清以下問題，并做出準确的判斷：

01. 零信任安全廠商是否能夠幫助用戶充分利用現有的網絡安全基礎設施？

在采用零信任理念之前，很多企業多年來在安全和網絡軟硬件設備上已經投入了大量的資金。安全廠商要有能力在盡可能利用現有技術和設備的同時，向零信任解決方案轉型。

大多數企業其實已經實施了與零信任有關的部分要素，如身份管理、訪問控制、雙因子身份驗證、網絡分段等管理策略。這些企業需要的是一種全面、集成、可擴展的策略驅動方式來實現對零信任解決方案的全面落地，他們需要尋找能夠在極少改動企業内部現有基礎設施情況下，助力其進行零信任轉型的安全廠商。

02. 零信任安全廠商是否真正了解用戶的零信任建設需求與目标？

一個優秀的零信任解決方案供應商在為企業制定方案計劃時，不會隻是浮于表面的在管理層面前高談闊論，而是會根據企業組織目前所面臨的實際業務挑戰建立明确的解決方案，并在一定程度上保證這些方案的實施效果，力求達到企業組織所需的業務目标。

企業組織的具體目标可能包括為在家工作的員工提供安全的遠程訪問，保護本地和雲端的敏感數據，或為軟件開發人員加強API安全性等。因此安全廠商要能夠根據企業組織的具體業務需求來定制可執行的、有效果的解決方案。

03. 零信任安全廠商是否有能力将用戶企業中的身份管理融入到未來的整體安全控制措施中？

身份安全是新一代安全架構體系建設的基礎，零信任安全廠商要與企業組織的需求保持一緻，并且有足夠的技術能力幫助企業在網絡系統中采用全面的身份管理策略來進行安全管控，這并不是一件容易的事。

目前，企業組織當中的身份管理缺口很多，例如，很多企業會忽略在員工訪問Web應用等場景下也需要采用精細化身份管理。有很多單點解決方案（如Web應用防火牆）可以填補這些缺口，但是這些單點解決方案如果不能得到很好的整合，将無法形成支持所有身份使用場景的整體解決方案。

而一家較為成熟的安全廠商，則可以通過安全編排、自動化和響應（SOAR）或擴展檢測和響應 （XDR）等工具幫助企業組織實現最大程度的統一身份管理。

04. 零信任安全廠商是否能夠幫助企業組織合理規劃零信任建設的優先級，并快速取得階段性應用效果？

安全廠商在為企業組織建設零信任解決方案時，應将用戶體驗放在首位，盡可能保證零信任方案在企業内部實施流程的順暢性，否則員工會認為該方案阻礙了正常工作，會設法繞過方案中包含的安全管控環節。

針對這一問題，安全廠商可以在企業組織中部署基于數字證書的身份驗證，并逐步淘汰那些煩人的用戶名和密碼認證。如果企業中的員工是通過雲或其他面向互聯網的應用軟件來訪問辦公應用程序的，安全廠商可以幫助企業建立以一種無需密碼、雙因子身份驗證支持的方式進行訪問，這樣企業員工對零信任方案的接受程度就會提升。

如此，企業高層在發現員工對零信任解決方案初步實施的認可之後，也更願意為其他更為複雜的零信任項目提供資金支持。

05. 信任安全廠商是否能夠幫助企業用戶實現全局化的數據安全防護？

構建零信任解決方案的核心目的，就是為了保障企業數據資産的安全，不被非法的訪問和竊取。如果不能實現全局化的數據安全防護，零信任安全建設将變得沒有意義。針對這一問題，零信任安全廠商應該以數據資産的發現為起點，首先要幫助企業進行數據資産清點，了解企業中有哪些數據、這些數據儲存在何處、如何跟蹤這些數據；然後，要确定有哪些數據數據敏感數據，并制定數據分級分類管理，同時對這些數據資産進行跟蹤防護和自動化管理。

06. 零信任安全廠商是否能夠幫助用戶建立精細化的安全訪問控制策略？

零信任理念的宗旨是，企業中的任何人在得到充分驗證之前均視為不信任。但是很多安全廠商在為企業組織設置和執行精細化安全訪問管控方面做的并不到位。零信任安全廠商在幫助企業組織實施零信任解決方案時，需要了解企業自身的最終用戶有哪些。哪些用戶可以登錄？這些用戶在登錄後分别有哪些操作權限？例如，企業中某負責應收賬款管理的員工按規定每月隻能在賬單支付時訪問一次某些文件夾。

07. 零信任安全廠商是否能夠通過微隔離等技術，幫助用戶縮小企業網絡的攻擊面？

網絡隔離技術已存在很長一段時間，但零信任将這個概念推到了一種更加精細化的程度，即微隔離。在零信任網絡中，安全廠商需要具備幫助企業組織圍繞單個終端或單個主機系統創建分段的能力，這可以讓企業内部員工的訪問行為受到絕對管控。

比如，過去人力資源部門整體可能都處于同一網段上，但安全廠商在企業内部實施了微隔離之後，人力資源主管和部門其他員工可能分别有屬于自己的網段，定義明确的防火牆規則可以規定他們可以做什麼、不可以做什麼。如果企業組織想要采用微隔離方法，這就要求安全廠商需要具備非常強大的網絡配置和控制能力。

08. 零信任安全廠商是否具備快速可靠的系統事件應急響應能力？

沒有百分百的安全，對于網絡安全系統來說同樣會有發生故障的時候，一旦用戶企業的身份安全管理系統或者其他零信任安全設施出現了故障，安全廠商不僅要考慮單點故障本身的修複，同時還要考慮可能出現的更為廣泛的、連鎖性的安全風險，因為導緻這些單點故障的安全事件可能包括了針對性的黑客攻擊、員工惡意行為等潛藏的危險。事件發生時，安全廠商要有能力幫助企業全面分析故障原因，是否存在被暴露的企業組織的賬号信息？是否會導緻非法的第三方訪問？是否存在外部攻擊者通過橫向移動來繞過零信任的防禦策略？

針對突發性的安全事件，安全廠商應該在為企業部署零信任解決方案時就盡可能全面的考慮到，并建立完善的補救策略。安全廠商應該幫助企業組織定期進行安全事件處置演練，從而在安全事件發生後，能夠确保企業組織在第一時間知道應該如何進行最有效的處理，最大程度的降低企業損失。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!