什么是零信任,哪些框架和标准可以帮助将零信任安全原则实施到您的网络安全策略中?
许多 IBM 客户想知道零信任安全到底是什么,以及它是否适用于他们。理解零信任概念及其演变方式,这将帮助您和我们的许多客户了解如何以最佳方式实施零信任,以保护公司最宝贵的资产。
零信任是一种网络安全框架,假设公司外部和内部的每个连接、每个端点都构成了威胁。它让公司能够构建全面的 IT 策略,以满足混合云环境的安全需求。零信任会持续实施自适应防护,并提供主动管理威胁的能力。
换句话说,这种方法从不信任任何交易的用户、设备或连接,并会对每笔交易进行验证。这样,公司就能获得整个业务的安全性和可视性,并执行一致的安全策略,从而更快地发现和应对威胁。
零信任始于 Google 于 2010 年制定的“BeyondCorp”计划。该计划的目标是告别基于边界的传统安全模型,转而基于身份和上下文来确保资源的安全访问。这一策略让 Google 能够为员工提供安全的资源访问方式,Google 员工无需使用 VPN 就能在任何地方使用任何设备安全地访问公司应用程序和数据。
2014 年,Forrester Research 分析师 John Kindervag 在一份题为“信息安全的零信任模式”的报告中创造了“零信任”这一概念,以描述这种新的安全模式。他提出了一种新的安全模型假设任何人无论是组织网络内部还是外部都无法在未经验证的情况下得到信任。该报告概述了基于两个主要原则的零信任模型:“永不信任,务必验证。”
所有用户、设备和应用程序都被视为不可信,必须先进行验证,然后才能向其授予资源访问权限。最小权限原则意味着向每个用户或每台设备授予完成其工作所需的最低级别访问权限,并根据按需知密原则来授予访问权限。
从那时起,零信任的概念保持了强劲的发展势头,众多组织采用其架构来更好地保护其数字资产免受网络威胁的侵袭。它囊括了多种安全原则和技术,这些原则和技术旨在增强安全性并降低出现安全漏洞的风险。
这些模型可以共同创建一个全面的零信任架构,帮助组织减少攻击面,改善安全状况,最大限度地降低安全漏洞的风险。但是,请务必注意,零信任安全模型的具体类型及其实施可能会因组织的规模、行业和特定安全需求而异。
零信任已成为流行的现代网络安全方法。在当今错综复杂又高度互联的世界中,许多组织已采用它来解决日益增长的网络攻击和数据泄露威胁。因此,许多技术供应商开发了专为支持零信任架构而设计的产品和服务。
在美国国家标准与技术研究院 (NIST) 的指导下,各组织还可以利用许多框架和标准,在其网络安全战略中实施零信任安全原则。
NIST 是美国商务部的一个非监管政府机构,旨在帮助企业更好地了解、管理和降低网络安全风险,以保护网络和数据。我们强烈推荐该机构发布的一些零信任综合指南:
NIST SP 800-207:零信任架构(ibm.com 外部链接)是第一个为零信任架构奠定基础的出版物。它将零信任定义为一组指导原则(而不是特定的技术和实施),并包括零信任架构的示例。
NIST SP 800-207 强调了持续监控和基于风险的自适应决策的重要性。他们建议利用“零信任的七大支柱”(传统上称为“零信任的七项原则”)实施零信任架构
总体而言,NIST SP 800-207 提倡基于最小权限、微型网段划分和持续监控原则的零信任整体方法,鼓励组织实施结合多种技术和控制措施的分层安全方法来防范威胁。
NIST SP 1800-35B,Implementing a Zero Trust Architecture(实施零信任架构)(ibm.com 外部链接)是我们强烈推荐的另一份 NIST 出版物,包含两个主要主题:
该出版物将 IT 安全挑战(适用于私营部门和公共部门)与零信任架构的原则和组件关联起来,让组织能够首先正确地对自身需求进行自我诊断,然后采用零信任架构的原则和组件来满足自身需求。因此,NIST SP 1800-35B 不会确定特定类型的零信任模型。
NIST 对其已实施的四个零信任架构采用迭代式开发方法,因此能够轻松灵活地逐步改进,并在零信任框架随时间推移而发展变化时保持连续性。
NIST 与许多技术组织(如 IBM)建立了战略伙伴关系,开展合作以提前采取行动,应对这些变化和新出现的威胁。
这种合作让 IBM 能够将开发作为优先事项,确保技术解决方案符合零信任的七项原则,从而保障 IBM 客户的系统和数据安全。
阅读 IBM 的 2022 年数据泄露成本报告,详细了解零信任的重要性,或与 IBM 的其中一位零信任专家直接联系。