网络安全行业的最新的一个流行语是“零信任”安全模型。简而言之,零信任模型意味着不留任何出错的空间,不信任任何人或事。
由于新冠疫情推动了混合工作方式以及一些新兴技术的出现,如元宇宙、Web 3.0、增强现实(AR)和虚拟现实(VR),网络安全行业正一如既往的努力,以尽可能地为未来做好准备。不过,我们还没有看到这些新技术的演变及其影响,因此在使用这些技术时我们需要谨慎行事。
那么,零信任究竟是什么?它是一个新产品吗?还是一个认证或仅仅只是网络安全行业的一个流行语?
一些组织误以为零信任是一个有形的产品或认证。事实上,零信任模型不是网络安全行业的一个有形产品或认证。部署零信任安全模型是为了确保端到端的网络和云安全,也是为了保护我们内部以及外部利益相关者的安全。零信任遵循的一个最重要的概念是“永不信任,持续验证”。其中包括启用多因素认证,以授予对任何应用程序或平台的访问。此外,还包括采用安全边界的微分段以避免一切安全漏洞。
如果没有在员工中建立合规性和良好习惯,任何新的安全功能或模型都不是完全没有风险的。同样地,零信任就是要在员工内部建立良好的习惯。此外,它还涉及确保您的员工在访问任何应用程序或平台时启用多因素身份验证。零信任是一种附加形式的合规层,IT 管理员、高层人员甚至部署人员都不应绕过它。应该有一种自上而下的方法,并且必须让所有员工持续进行身份认证和验证,以在组织内建立更好的安全态势。
零信任模式不仅仅指多因素认证。它还要求所有的用户在访问任何类型的应用程序和数据时,都要经过认证、授权,并对他们的安全配置进行持续验证。它的作用就像一个附加的安全层。零信任模型确实有各种好处,例如,你的员工可以进行远程认证和验证,这将使他们能够在远程或混合工作场景下从容地工作。
那么,您可以随时采用零信任模型吗?
在部署任何新的安全模型之前,我们需要了解投资回报率。我们需要知道我们是否真的需要它。虽然了解到零信任是保护企业重要资产的一种方法很重要,但同样重要的是要知道“果汁是否值得榨取(是否值得投资)”。
决定部署零信任安全的前提是您的组织已经是一个数字化组织。要想在组织内应用零信任模式,您的组织需要是一个已经数字化的组织,拥有需要云和网络保护的数字资产。您的员工应该拥有可以自我验证的数字资产。
我们不需要跳入每一次浪潮中,也不用去部署每一个最新推出的技术。我们首先还是要了解自己的安全需求,再采取相应的行动。只有当您和您的员工愿意长期致力于零信任或其他安全技术,并建立良好的习惯,以确保完整的网络安全,您的网络安全投资才是值得的。