后疫情时代,全球的企业和组织都在全速重构,迸发出数字化转型的强大动力。企业业务更加开放、灵活和分散,企业的安全边界也随之变得越来越模糊。数据显示,2021年全球仅由勒索软件给企业造成的损失已经达到200亿美元。
根据《insider threat report》显示,企业内部威胁是造成数据泄露的第二大原因。传统的IT安全策略会在网络周围形成一个边界,使经过身份验证的用户和设备能够轻松穿越网络并轻松访问资源。
不幸的是,由于公司中很多员工会进行远程办公,并且公司大部分的资源会放在云上,仅依靠在网络周围形成一个边界的方法,使得效率变得很低下,同时企业也会变得更加危险。
最近两三年,零信任这种解决异构网络业务安全问题的解决方案,成为新的顶流。它代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”。通俗点概括,就是“持续验证,永不信任”。
默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。“永不信任,持续验证”?那我们还工作不工作了?
无需多虑,就拿移动办公来说,零信任的理念已经贯穿于数字化办公的各个场景模块了,比如:
在移动端验证APP的运行环境是否合规,如合规则允许办公APP运行,并持续进行合规性检查;
在用户接入到企业内网时,验证用户的多维身份,包括:账户、设备、应用、时间、网络、位置等等,验证通过方可放行,并持续进行身份验证,一旦出现异常情况,则动态进行权限变更。
这像不像我们出入公共场所时出示健康码?系统会根据你的行程轨迹实时,动态刷新“健康码”,精准识别风险。零信任安全能够满足企业一些通用场景的安全需要,包括无界办公、混合云、企业异地分支接入、第三方接入等。
企业引入零信任安全的最佳时机需要和企业数字化转型进程保持相同的步伐,应将零信任安全作为企业数字化转型战略的一部分。
现在你是不是觉得,零信任,才是最大的信任?