零信任安全網絡構建

隨着移動設備涌入企業，物聯網(IoT)的擴張，以及網絡罪犯數量和複雜程度的增加，許多安全專家認爲零信任是抵禦不斷變化網絡和數據安全威脅的較好方法。

網絡安全漏洞每每會在最不可能的地方被發現。例如，彭博商業週刊(BloombergBusinessWeek)中的一個案例，在酒店房間的窗簾電動遙控上有一個互聯網端口，能夠訪問酒店的內部計算機系統。網絡安全承包商在一次安全審計中發現了該漏洞。這個案例說明了：在當今的互聯世界中，後門漏洞幾乎隨處可見。

什麼是「零信任」安全

「零信任」一詞是由Forrester Research的分析師在2013年提交給國家標準與技術研究所(NIST)的一份報告中提出的，該研究所是美國政府網絡安全方案的一部分。由於移動和大數據使‘建造更堅固的牆’成爲一場昂貴的鬧劇，沒法充分保護網絡安全，Forrester提出了零信任的概念。
零信任指的是一種網絡設計理念，「要求經過態勢感知和強大的漏洞事件管理能力，將安全性構建到IT架構的DNA中。」簡言之，零信任是將「信任但須要驗證」方法轉化爲「驗證而不信任」。

三步構建零信任安全網絡

根據Forrester的說法，組織應該「從內到外」理想地重建網絡，從「咱們須要保護的系統資源和數據存儲庫」開始。可是，重建網絡可能須要很長的時間。下面三個步驟，您能夠將零信任安全原則引入已有網絡中。

1. 增強身份驗證

雖然密碼是大多數網絡的第一道防線，但59%的用戶對多個賬戶擁有相同的密碼，並且頗有可能剩下用戶的密碼只有幾個字符。
身份和訪問管理(IAM)解決方案使組織可以經過應用多因素身份驗證(MFA)來加強安全性。多因素身份驗證可能須要生物特徵因素，如指紋，虹膜掃描，或使用物理對象，如支持FIDO2的設備。

2. 網絡分割

分割或微分割網絡可使網絡被破壞時保持大部分網絡的安全，從而最大限度地減小損壞。
實施網絡微分割，例以下一代防火牆和數據安全控制，這樣入侵者即便可以突破外圍防護也不能訪問超過定義的數據子集。

3. 審查訪問行爲

除了保護網絡以外，有效的零信任策略還包括監控訪問行爲和分析模式和趨勢。
分析工具、跟蹤訪問行爲以及識別模式、趨勢和潛在威脅能夠加強數據安全性，從而加強客戶對網絡的信任。
網絡數據泄露使客戶信息，企業知識產權、員工記錄等面臨風險。除了經濟損失、聲譽損失和客戶信心損失，若是發現其餘違法行爲，還可能承擔法律責任。黑客的網絡攻擊從不休息，企業網絡安全團隊也須要不斷應對網絡攻擊，零信任網絡構建能夠爲安全團隊提供有力武器。

本文地址：https://www.linuxprobe.com/security-zero-trust-network.html