零信任网络代表了网络安全方法的范式转变,摆脱了主要侧重于保护网络边界的传统防御。这一概念由 Forrester 于 2010 年首次提出,其基础是“永不信任,始终验证”的原则。它挑战了传统的“护城河和城堡”策略,该策略假设威胁主要来自外部,并且网络范围内的任何内容都可以信任。
在传统的网络安全模型中,重点是构建强大的外部控制(如防火墙和防病毒软件)以防止攻击者渗透网络。这种方法的运作基于这样的信念:一旦进入网络,用户和设备通常是值得信赖的。然而,这导致了一个重大漏洞:一旦攻击者突破边界,他们就可以毫无阻力地在网络内横向移动,访问敏感数据并造成重大损害。
相比之下,零信任网络的运行假设是网络外部和内部都可能存在威胁。该模型将每个用户、设备、应用程序和系统都视为可能受到威胁的对象,无论其相对于网络边界的位置如何。在零信任下,信任永远不是假设的,而是必须不断赢得的。每个资源访问请求在被授予之前都会经过彻底验证,无论请求者的位置或凭据如何。
零信任架构的一个关键组成部分是微边界的使用,这是围绕敏感和关键资产放置的小型局部边界。此方法通过确保严格控制和监视对关键资源的访问来显着减少攻击面。它可以防止攻击者在网络内横向移动,因为获得网络某一部分的访问权限不会自动授予其他部分的访问权限。
实施零信任网络安全通常涉及先进的分段技术,该技术可以精确控制和监控网络内的流量。该技术对于创建和管理微边界以及根据用户身份、设备、位置和其他因素实施严格的访问控制是不可或缺的。
总之,零信任网络标志着向更全面、更动态的网络安全方法的根本转变。通过假设网络的每个组件都可能受到损害并执行严格的验证,零信任网络旨在在日益复杂和容易受到威胁的数字环境中提供强大的安全性。