新冠疫情大流行以来,任何企业都无法忽视网络中断和日渐复杂的网络情况造成的网络安全风险不断增长。
近期,德勤一项调研中,72%的企业高管表示,仅在过去一年,公司遭受网络安全事故和漏洞攻击事件频率达到1-10次不等。网络攻击无处不在,传统防护方式无法有效阻止网络入侵活动,这样持续不断的威胁使企业高管不再信任网络中任何人、事、物。
由于企业无法再信任网络中的任何事物,“零信任”一词的出现极具吸引力。当听闻“从不信任,始终验证”的零信任安全理念时,企业领导层会要求安全团队尽快去实现,希望快速推进落地。然而,IT领导和安全专家对零信任是存在抵触情绪的。零信任概念虽然简单,但实施落地绝非易事。
在零信任架构下,无论处于企业网络内部还是外部,用户在被授予访问权限前都需要通过身份认证。进入DT时代,万物互联,海量数据流转,网络安全发生了颠覆性的变化,边界概念越来越模糊,网络安全真正需要的是动态掌控,而动态掌控的能力正是由零信任提供的。因此,实施零信任实际上是一种安全理念的转变,首先需要打破传统边界安全模型思维,同时,也需要融入新的技术。
有这样一个十分形象的比喻——边界安全模型下的网络环境就像是一座城堡,但在数字时代,“物联网”、远程办公等场景复杂多样,网络环境更像是城市。这就要求安全团队必须像市长一样去思考,做城市规划,而不是建造城墙、护城河去保护城堡。所以,细致地规划与充分的准备是企业想要构建零信任体系所面临的最大挑战。
尽管零信任适用于各行各业,但并没有“一码通吃”的解决方案。零信任落地无法一蹴而就,对于大多数企业来说是一个漫长的过程。它要求企业各层协同工作,清晰地梳理和充分地了解业务驱动因素、现有能力、安全情况、设备、数据、应用、网络、流量等方面。
与纯技术解决方案不同,零信任的成功实施还涉及企业文化转变。出于这个原因,企业不仅需要新技术的支持,还有软技能培养的需求。例如,沟通、安全意识培训、运营流程调整等。所以,要想成功实施零信任,安全战略与整体战略、业务目标必须保持一致,并且得到所有企业高管、相关方的全力支持。
伴随着市场对零信任的需求和认识不断增加,新兴技术与解决方案不断涌现,安全能力提高,业务场景也逐步拓展到跨越云环境和本地网络,这给企业在实施落地时提供了更多的便利。现在,零信任在实施方面更加精简,但切记不能省略了解与梳理企业应用程序、用户、设备等各方面的工作。因为最终是需要实现企业整体网络安全可见性与安全执行力。
尽管零信任是一个看似简单的概念,“不信任任何用户、设备或应用程序”,但建设底层架构去支持这个概念并非易事。无论是认同还是反对零信任理念,它仍然为未来安全发展指明了道路与方向。
原文链接:https://reurl.cc/k75glL
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
