什么是零信任架构？

---

---

零信任架构 (ZTA) 演示了组织 IT 基础设施用于保障数据转型的设计和实施原则。它概述了组织用来实施零信任的技术框架和结构。

零信任架构工作原理

ZTA 工作原理包括以下安全技术 -

1. 实时监控

在零信任架构 (ZTA) 中，实时监控对于确保在从不假设用户位置或网络信任的环境中实现强大的安全性至关重要。此策略需要持续监控用户行为、设备完整性和网络流量，以便立即发现异常和潜在威胁。

组织可以通过使用高级分析和机器学习技术来实时检测可疑活动，从而快速响应安全事件。这种主动方法不仅有助于保护敏感数据，还有助于确保合规性，使实时监控成为有效零信任策略的重要组成部分。

2. 身份和访问管理 (IAM)

身份和访问管理 (IAM) 是零信任架构 (ZTA) 的关键组成部分。它强调最小权限的概念，以确保用户只能访问执行所需操作或工作所需的资源。

在 ZTA 框架中，IAM 解决方案使用强大的身份验证机制（如多因素身份验证 (MFA) 和生物识别验证）持续检查用户身份。此持续验证过程扩展到初始登录之外，因为持续监控会评估用户行为和上下文，从而允许动态访问限制决策。通过将 IAM 与其他安全措施相结合，组织可以制定一项全面的计划来降低与受损凭据和内部威胁相关的风险，从而确认零信任模型致力于最大程度地减少所有网络交互中的信任假设。

3. 多因素身份验证 (MFA)

多因素身份验证 (MFA) 是零信任架构 (ZTA) 的一个关键组成部分，它通过强制用户在访问系统和数据之前提供多种形式的身份验证来提高安全性。与通常仅依赖密码的传统安全方法不同，多因素身份验证 (MFA) 结合了用户知道或拥有的东西，例如密码、智能手机或安全令牌。

这种分层策略极大地降低了未经授权访问的风险，因为如果一个元素受到损害，攻击者将面临更多挑战。部署 MFA 的组织通过确保每个访问请求都经过严格审查来加强其零信任态度，从而保护敏感信息并在整个网络中维持强大的安全性。

4. 微隔离

微隔离是零信任架构 (ZTA) 的一个重要概念。它将网络划分为更小、更隔离的部分以提高安全性和控制力。通过在这些部分上实施细粒度的访问限制，组织可以防止网络内部的横向移动，从而确保即使威胁参与者渗透到一个部分，他们也无法快速访问其他部分。

此技术支持自定义安全措施，这些措施可以根据数据的敏感性或用户和设备的个人职责进行调整。微隔离增强了可见性和监控能力，并使组织能够更有效地发现和响应异常情况。通过强调在网络所有级别严格访问控制的重要性，这种方法完美地映射了“从不信任，始终验证”的零信任理念。

5. 加密

零信任架构 (ZTA) 中的加密机制保护静止和传输中的数据，并确保敏感数据或信息的安全性及机密性。在 ZTA 框架中，数据使用强大的算法进行加密，使其对未经授权的用户不可用，并降低与数据拦截或泄露相关的风险。此方法严格遵循最小权限原则，因为只有拥有明确权限的授权用户才能访问加密数据。端到端加密通过减少传统安全模型中固有的信任假设，支持设备、用户和应用程序之间的安全通信。

总的来说，ZTA 描述了如何在企业系统、网络和工作流程中使用这些概念，以确保没有任何实体（人、设备或应用程序）在没有正确验证的情况下获得访问权限。

为什么要使用零信任架构？

零信任架构 (ZTA) 由 Forrester Research 的前分析师 John Kindervag 于 2011 年提出，他建议组织应该“从不信任，始终验证”以保护敏感数据和系统。这对网络威胁来说是一个变化的时代。随着数字转型加速，零信任架构应运而生，带来了多云环境、蓬勃发展的物联网 (IoT) 生态系统和日益增长的移动性。

随着企业采用云计算和移动劳动力，传统的网络边界变得模糊，需要一种能够预测潜在威胁可能存在于网络内部和外部的安全策略。随着时间的推移，零信任获得了普及，包括微隔离、身份和访问管理以及持续监控等先进技术，已成为网络安全实践的重要框架。对于使用网络并持有数字数据的每个组织，都强烈建议使用零信任架构。以下几点说明了 ZTA 为什么在使用中变得流行 -

• 它高度保护数据、应用程序和网络。
• 它提供对本地和基于云的应用程序和资源的安全远程访问。
• 它最大程度地减少了可能的损害并识别内部威胁。
• 使用增强 VPN 从任何位置扩展对网络的安全访问控制。
• 它限制或禁止使用未经授权的应用程序或“影子 IT”。
• 它依赖于最小权限，因此它严格限制对外部成员的访问。

零信任架构中的关键要素

零信任的关键原则通常与组织安全相关；它涵盖了零信任网络访问 (ZTNA)。零信任架构的一些关键要素包括用户、应用程序和基础设施。所有这些共同显著提高了组织的安全性。

• 用户 - 零信任架构建立在强大的用户身份验证、最小权限访问原则和用户设备完整性验证的基础上。
• 应用程序 - 零信任架构的核心原则之一是不能信任应用程序，并且必须在运行时持续监控其行为以验证其行为。当将零信任应用于应用程序时，它消除了在运行时相互通信的不同应用程序组件之间的隐式信任。
• 基础设施 - 零信任架构管理基础设施安全的所有方面，例如路由器、交换机、云、物联网和供应链。

零信任架构的七大支柱

零信任架构的七大支柱为创建强大的安全策略提供了完整的框架。零信任安全的七大支柱如下所示。

1. 用户身份和访问管理

身份是指区分人类和非人类用户的特征。零信任架构需要控制来管理每个用户的访问请求，确保在不超过允许的权限的情况下授予访问权限。它确保根据用户身份对用户进行身份验证和授权，并设置严格的访问限制，以符合最小权限原则。

2. 设备安全

设备可以被视为连接到网络的资产，例如服务器、台式机、笔记本电脑等。持续评估网络连接设备的安全状况对于防止受损或不可信的设备获得访问权限至关重要。

3. 网络分段

网络被定义为任何开放的通信通道，包括组织的内部网络、无线网络和互联网。零信任架构保护具有多孔周边的现代环境。将网络划分为更小、更隔离的部分，以最大程度地减少横向移动并实施细粒度的安全控制。

4. 数据保护

数据是指存储在组织数字基础设施中的所有信息，包括应用程序、系统、设备、网络、数据库和备份。零信任架构要求保护所有数据免受未经授权的访问。对静止和传输中的敏感数据进行加密，以防止未经授权的访问和泄露。

5. 可见性和分析

一个完整的监控系统持续监控所有用户活动、设备交互、网络流量和其他相关数据，以检测异常和可疑行为。定期分析这些数据以检测和响应任何攻击，确保我们系统的安全和保障。

6. 自动化和编排

ZTA 使用自动化技术来实施和执行安全规则，以及实时管理安全威胁。此策略提高了响应可能的安全事件的效率和准确性。使用自动化技术和方法来加速安全操作、改进响应时间并最大程度地减少人为错误。

7. 安全策略执行

为了提供合规性和威胁防护，必须在所有架构组件中统一建立和执行安全策略。总的来说，零信任安全架构的七大支柱形成了符合零信任原则的全面安全态势，确保安全集成到架构的所有方面。

如何实施零信任架构？

实施零信任架构 (ZTA) 需要一种系统化的方法，该方法演示了如何在整个组织中实施安全性。它需要实施新的技术、流程和观点，以便默认情况下不信任任何用户、设备或系统。

实施零信任架构的分步解决方案如下 -

• 识别资产 - 这是实施零信任架构的初始步骤。应评估每个资产以确定其价值和脆弱性。这种综合方法有助于组织分析与每个资产相关的风险，实施适当的访问限制，并根据资产的敏感性和价值优先考虑安全措施。
• 验证设备和用户 - 必须对所有设备和用户进行身份验证以确保其身份。组织可以通过保持有效的验证机制来显著降低未经授权访问和泄露的风险。
• 映射工作流 - 此步骤涉及确定谁可以访问哪些资产、何时可以访问以及为什么应该允许访问。它需要识别和记录用户、设备和应用程序之间的流程和交互。
• 定义和自动化策略 - 它包括根据用户身份和设备状态实施细粒度的访问控制。这确保每个访问请求都得到持续评估，使用自动执行方法来降低风险和简化安全操作。
• 测试、监控和维护 - 它需要持续评估安全措施和访问控制，以确保它们成功地缓解风险。定期审核和实时监控用户行为和网络流量有助于检测异常情况，而持续更新和策略修改则增强了架构抵御不断变化的威胁的能力。