什么是零信任架构?
零信任架构(ZTA)是一种网络安全方法,它将零信任原则应用于组织的基础设施和工作流程。传统的网络安全模式假定组织网络内的一切都可以信任,而 ZTA 则要求在授予应用程序和数据访问权限时,在数字交易的每个阶段进行验证--无论用户是访问组织网络内的资源还是远程资源。
零信任架构的组成部分
零信任架构的六个主要组成部分是
1.用户
零信任的第一块基石是对用户进行强有力的身份验证,以便将其识别为可信用户。虽然这需要持续进行,以最大限度地提高安全性,但也必须不引人注目,以便用户能够容忍。
2.基础设施
零信任的第二个基石是网络访问。由于越来越多地使用云工作负载、Wi-Fi 和用户自己的设备通过 VPN 访问网络,网络访问不再是基于边界的。这就需要在初始访问之外进行身份验证。
3.设备
必须不断检查设备是否存在漏洞,包括是否使用了未打补丁的旧软件、加密以及是否实施了足够强大的密码控制。
4.应用
对应用程序、计算容器和虚拟机的访问需要更精细的控制,而多因素身份验证是其中的关键组成部分。
5.安全分析和人工智能
实时识别威胁是零信任方法的关键。这需要利用先进的人工智能威胁识别和预防技术。
6.自动化
零信任更加细化和主动,因此必须实现自动化。必须利用自动和基于智能的动态策略调整,以实现经济高效的应用。
零信任架构用例
现实世界中的 ZTA 实例。
- 一名员工不小心将自己的设备留在了公共场所,而他最近曾对设备进行过身份验证,以访问企业资源,例如查看业务电子邮件。在传统的安全模式中,内部资源将被暴露。零信任通过防止对用户遗失设备的隐式信任,弥补了这一漏洞。
- 员工自带不安全或已损坏的设备上班。在这种情况下,"零信任 "可以防止设备造成破坏,即使该设备在之前的访问中已被允许访问组织的网络。
美国国家标准与技术研究院指出,实施 "随时随地 "访问的零信任架构需要逐步应用相关原则。在过渡期间,这将涉及零信任模式和基于边界模式的混合模式。组织需要确定其运营中打算使用的应用程序、服务和工作流程,绘制各组件的交互图,并将零信任架构应用于其中的每一个组件--这可能涉及部分重新设计。
每个安全团队都希望采用 "零信任架构"(Zero Trust Architecture)--在证明并不断证明自己的身份、访问权限和非恶意行为之前,任何人都不能获得或保留对任何东西的访问权限。这就是企业选择由Cylance®AI 支持的BlackBerry®零信任架构来保护人员、数据和网络的原因。
