九九精品视频一区二区三区,青青草在线免费观看,国产AV夜夜欢一区二区三区,新国产美女精品一区二区

在新冠疫情的影響下，全球被迫開啟在線遠程辦公模式，企業(yè)原有的網絡邊界逐漸泛化。勒索軟件爆發(fā)、敏感數(shù)據(jù)大規(guī)模泄露、黑客針對性攻擊等各種問題經常發(fā)生。因此，基于邊界的傳統(tǒng)安全架構不再可靠，信息安全已成為全社會關注的焦點，零信任市場迎來風潮，零信任安全架構的概念也應運而生。如何在新的生產模式下保證安全，平衡生產效率和用戶體驗是目前的剛需，也是一個具有實用價值的研究課題。

一、何為零信任安全架構？

零信任這一理念最早是在美國提出的，2011年谷歌內部開始實施零信任，整整花了6年時間才在企業(yè)網實現(xiàn)了零信任落地。

零信任既不是技術也不是產品，而是一種安全理念。根據(jù)NIST《零信任架構標準》中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網絡環(huán)境已經被攻陷的前提下，當執(zhí)行信息系統(tǒng)和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構（ZTA）則是一種企業(yè)網絡安全的規(guī)劃，它基于零信任理念，圍繞其組件關系、工作流規(guī)劃與訪問策略構建而成。

總的來說，零信任架構的本質是以身份為基石的動態(tài)可信訪問控制，聚焦身份、信任、業(yè)務訪問和動態(tài)訪問控制等維度的安全能力，基于業(yè)務場景的人、流程、環(huán)境、訪問上下文等多維的因素，對信任進行持續(xù)評估，并通過信任等級對權限進行動態(tài)調整，形成具備較強風險應對能力的動態(tài)自適應的安全閉環(huán)體系。

二、企業(yè)零信任安全架構如何實踐？

1、明確需要保護的層面

應從攻擊者角度進行安全風險評估。如，企業(yè)安全團隊最常關注的潛在攻擊面有：安全邊界在哪？外部人員將會如何闖入？有什么潛在的方法可以闖入？

《零信任架構規(guī)劃》表示，建立安全防護需要先從數(shù)據(jù)和應用程序出發(fā)，應先分析價最高、風險最大的數(shù)據(jù)信息和資產。因此，企業(yè)可以根據(jù)業(yè)務的重要等級，來確定受保護對象的重要性和優(yōu)先級。先確定最關鍵的應用程序，然后再確定次重要的。層層遞減，如此便可實現(xiàn)對所有應用程序的等級保護。

2、提高全面可見性

CISA在《零信任成熟度模型》中指出，企業(yè)在圍繞身份、設備、網絡、應用程序和數(shù)據(jù)等執(zhí)行點實施零信任時，應全面了解一切資產如何相互連接，實現(xiàn)全面可見性是執(zhí)行策略的基礎。用戶、設備和服務都需要連接到數(shù)據(jù)中心。若企業(yè)不了解該環(huán)境的運作方式，就試圖強制執(zhí)行零信任，則會使該環(huán)境變得更復雜，從而導致安全缺口或工作流程中斷。在保證了可見性之后，企業(yè)可以清晰的了解到應采取怎樣的可信執(zhí)行策略。

3、構建新邊界：微隔離

《零信任架構》指出，與傳統(tǒng)防護手段相同，零信任理念保證數(shù)據(jù)中心安全的前提也是確保網絡環(huán)境和周邊環(huán)境安全。但差別在于如何在數(shù)據(jù)中心創(chuàng)建“微邊界”（micro-boundary），零信任要求只有通過審核標準的流量才能通過。因此在構建零信任架構時，網段和邊界相比傳統(tǒng)模式會變得更小。因此，微隔離策略應與現(xiàn)有的網絡架構相脫離，并要具被靈活的擴展功能。

4、完善身份管理

無論企業(yè)選擇部署哪種安全架構，身份都是零信任安全的基礎，都需要身份來源認證和基于角色的訪問控制等關鍵組件。身份來源不僅要包含用戶的身份，還要包括服務帳戶、應用程序會話、暫時身份和云資產。零信任要求在提供安全訪問之前先驗證身份，這對于VPN等傳統(tǒng)解決方案是不可能實現(xiàn)的。軟件定義邊界（Software-Defined Perimeter，簡稱“SDP”）或零信任架構不僅僅驗證IP地址，還在授予訪問權限之前，根據(jù)設備狀態(tài)、位置、時間、角色和權限來持續(xù)評估安全風險。

5、縮小攻擊面

縮小攻擊面是減少風險暴露、降低安全事件發(fā)生的關鍵。在企業(yè)內部，零信任理念的微隔離方法在提供了安全連接授權資源的便利的同時，也確保了任何身份未經授權的資產都是不可見、不可訪問的。這減少了橫向移動，進一步降低了內部威脅。

事實上，近年來，由于數(shù)千萬數(shù)據(jù)的暴露，企業(yè)遭受的損失越來越大。從“零”開始的新網絡安全體系價值，在數(shù)字時代的安全價值上尚未定論。目前，普一科技與各大安全廠商一起關注零信任的建設和實施，積極踐行零信任的安全理念?；诰W絡環(huán)境、用戶身份、設備信息等多種因素，對網絡接入進行綜合身份識別認證，保障網絡安全，不遺漏任何可疑因。