/ Soluciones / 我要给你我的秘密 / 什么是零信任安全?

什么是零信任?

零信任是默认情况下不信任任何人的安全体系结构。在零信任模型中,任何试图访问公司网络的人都必须通过多因素身份验证(MFA)和自适应身份验证等机制进行持续验证。它用于实现数字转换,同时严格控制用户访问并防止数据泄露。

探索其他“零信任”主题:

零信任安全是什么意思?

零信任安全的核心逻辑本质上是“从不信任,总是验证”。在一个网络安全威胁复杂的世界里混合的劳动力配备了大量的应用程序和设备,零信任旨在提供全面的保护,从不假设访问请求来自可信的来源——即使它来自公司防火墙内部。一切都被视为来自一个不安全的开放网络,而信任本身在零信任框架中被视为一种负债。

零信任也可以称为无边界安全。这个术语显示了它与传统安全模型的极端对立,传统安全模型遵循“信任,但要验证”的原则,并将公司网络范围内已经通过身份验证的用户和端点,或通过虚拟专用网络(VPN)连接的用户和端点视为安全的。但这种隐性信任增加了内部威胁导致数据丢失的风险,因为它允许在网络中进行广泛的、不受限制的横向移动。

相反,零信任安全架构建立在以下基础之上:

  • 显式验证和持续验证:必须持续地对网络用户进行身份验证、授权和验证,以确保他们始终拥有适当的权限。许多数据点,如用户身份、地理位置和设备姿态都可以用于此目的。一次性的用户身份验证已经不够了。
  • 最低权限访问:零信任通过实施最小特权原则减少了公司的攻击面,因此默认情况下,身份只能获得对网络的最低级别访问权限。与其他网络安全实践,如网络微分割和自适应访问在零信任模型中,最低特权访问极大地限制了横向移动。

为什么零信任策略很重要?

随着人们工作方式的改变,制定零信任安全策略至关重要。它是防御跨越复杂It生态系统的高级攻击的最可靠的网络安全框架,具有频繁在位置和设备之间移动的动态工作负载。零信任架构尤其重要,因为多重云而且混合云环境变得更加普遍,公司使用的应用程序的范围也扩大了。

随着典型组织中端点数量的增加和员工使用BYOD设备访问云应用程序和公司数据,传统的网络安全方法不能可靠地阻止来自不良行为者的访问。从那时起,已经通过VPN连接到公司网络的恶意内部人员将被信任,即使他们的行为不寻常——例如,如果他们下载了大量数据,或从未经授权的位置访问文件。

相比之下,零信任模型总是对网络上的每个身份进行风险评估,并密切关注实时活动。这种方法的核心是最小权限访问的概念,这意味着每个用户只能获得执行手头任务所需的访问权限。零信任框架从不假设一个身份是可信的,因此在允许它在网络中移动之前,它需要证明自己。考虑零信任的另一种方式是将其视为软件定义的边界,它不断扩展和演化,以保护应用程序和敏感数据,无论用户、设备或位置如何。

零信任的历史是怎样的?

零信任模型的起源至少可以追溯到21世纪初,当时有一组类似的网络安全概念被称为去周边化。弗雷斯特研究分析师约翰·金德vag最终创造了“零信任”这个词。零信任方法在2009年左右出现,当时谷歌创建了BeyondCorp零信任体系结构,以应对Aurora网络攻击行动,该行动涉及传统网络安全体系结构无法解决的高级持久威胁(apt)。

零信任安全性的好处是什么?

零信任安全的主要好处是:

  • 通过关闭安全漏洞和控制网络上的横向移动来降低风险
  • 改进了网络安全和对移动和远程员工的支持
  • 对应用程序和数据的强大保护,无论它们是在云中还是在本地数据中心中
  • 可靠的防御勒索软件、恶意软件、网络钓鱼攻击和高级威胁

零信任架构是如何工作的?

如果实现得当,零信任安全模型将与向公司网络发出的访问请求相关的行为模式和数据点密切协调。零信任解决方案可以根据诸如地理位置、一天中的时间和设备姿态等标准授予或拒绝访问。

有效的零信任安全将高度自动化,它的保护可能通过云或本地实现交付。身份提供程序和访问管理是任何零信任框架的关键组件,因为它们提供了诸如自适应认证而且单点登录像员工入职一样简化工作流程。

由于这些原因,零信任常常与零信任网络访问(ZTNA),专门用于保护对企业应用程序及其中存储的数据的访问。

报告

Gartner零信任网络访问市场指南

准备好了解最新的零信任网络访问安全解决方案了吗?在Gartner的指南中可以看到供应商是如何堆叠的。

读报告

零信任安全的一些关键组成部分是什么?

零信任工具还可以通过以下方式提供高级保护:

零信任提供了网络分割和流量隔离

下一代防火墙和安全浏览器等网络安全解决方案有助于隔离公司主网的流量。这种分割限制了横向移动,改善了组织的安全态势,并将破坏的损害最小化,即使它确实发生了。由于风险用户被限制在网络的一个相对较小的子网中,他们不能未经授权横向移动。在正常情况下,微分段安全策略还有助于限制用户组和位置的访问。

无vpn代理,零信任软件

传统的vpn不符合零信任原则,因为一次性访问给了用户打开王国的钥匙。与这种城堡加护城河的安全方法不同,零信任模型使用了一个专用的无vpn的代理,位于用户设备和所有应用程序之间,从web和SaaS应用程序到基于客户机/服务器(TCP和UDP)的应用程序,甚至是未经批准的web应用程序。该代理可以执行细粒度的网络安全措施,例如添加水印,并在上下文证据支持的情况下禁止在端点上进行打印、复制和粘贴。

零信任自适应认证和自适应访问

自适应访问和自适应身份验证允许组织了解最终用户设备的状态,而不必用移动设备管理(MDM)解决方案。系统在对设备进行详细分析的基础上,根据用户的角色、地理位置和设备姿态,智能地为用户提供合适的认证机制。

远程浏览器隔离

远程浏览器隔离当访问发生在非托管设备上时,将用户会话从本地浏览器重定向到托管的安全浏览器服务。这确保了用户可以在沙盒环境中访问他们的应用程序,并让他们保持高效率。与此同时,这可以通过浏览器隔离功能保护端点和网络免受来自互联网的恶意内容的攻击,从而从企业资源中创建一个空档。

安全分析

安全分析解决方案积累了有价值的数据,用于确定网络上的异常活动。网络可以实时智能评估请求是否有风险,并根据系统中检测到的用户行为和异常帮助自动化安全实施。这有助于减少IT的手工工作,提供及时的执行,并减少违规的风险。

如何构建零信任的网络架构?

实现零信任并不涉及单一产品。相反,它是一个全面的安全框架,用于持续评估风险并控制跨环境的安全访问。因此,可以串联部署多个解决方案,包括但不限于上述解决方案,以支持零信任模型。

设计和构建零信任安全性的确切过程因组织和解决方案集而异,但通常的过程包括:

  1. 评估现有的网络安全控制,并确定关键网络流和漏洞。
  2. 确定一个通过零信任措施免受伤害的保护表面。
  3. 实现特定的技术,如自适应和多因素身份验证、无vpn代理和安全的嵌入式浏览器。
  4. 持续监视网络以监视可疑活动,并根据需要微调解决方案组合和整体网络安全方法

思杰零信任解决方案

Citrix提供一系列解决方案,以帮助处于零信任之旅各个阶段的组织:

  • Citrix DaaS保护对虚拟应用程序的访问,使用复杂的访问策略,适应用户行为和风险评分。
  • Citrix安全私有访问是一个无vpn的解决方案,通过自适应身份验证和单点登录从受管理设备和BYO设备访问的IT批准应用程序,提供零信任访问。
  • Citrix安全分析跟踪用户活动,创建个人风险评分。这些分数可以用来识别可疑行为,并激活旨在防止数据泄露的网络安全控制。

了解如何使用Citrix DaaS实现零信任安全性

在北美:
1 800 424 8749