原文自国外技术社区dzone,作者为 Ramesh M,传送门
就像每朵玫瑰大约都有23.5根刺那样,每一个商业创新都会引起一连串和它们息息相关的网络犯罪案例。随着现在逐渐成为一个人们紧密相连的时间 -- 共享数据和信息,在高山深海中实时通信并且登录到世界各地的应用当中 -- 在美好的生活到来之时,恶意威胁也在不断浮现。
不出意外的是,Cybersecurity Ventures 也预测,在 2021 年之际,全世界的企业每11秒就会受到一次勒索软件的攻击。
尽管我们都相信我们的防火墙是非常可靠的、我们的敏感信息是保密不被泄漏的、我们的员工也会记得在需要时注释企业的应用登录信息,但事实往往却相反。这就是为什么现在各个企业都开展实施零信任架构的原因了。
我们深入探讨了为什么每个公司需要采用零信任架构,以及如何将其应用到公共云当中。在这里,我们将探讨相关的技术和原理来有效保护那些有价值的业务数据。
冒泡
传统上来说,企业认为他们内部网络的信息内容是安全的。想象下在商业范围内形成一个气泡,并假设气泡内部的所有东西是安全的。如果黑客想要渗透到气泡中,没人知道或者关心他们在做什么,因为它是被认为是安全的。但在零信任架构中,气泡中的任何事物都是不被信任的。
零信任是被定义为应用级并且设置了那些参数指定什么类型的人能够访问这个应用程序。他们可以从哪里访问以及需要采取哪些验证手段来获取访问权限。
微切分(Microsegmentation)
微切分将安全参数分解成网络中的细小区域。访问网络中的不同部分需要不同级别的访问权限和验证步骤。这样,如果存在有关消费的敏感消息,只有那些正在处理消费业务的员工才能访问它。
微切分可以帮助 IT 专员针对不同类型的场景定制不同的安全设置,因此指定的设备只能和被指定的特定设备进行通信。这样可以降低网络攻击的范围,黑客一旦进入到组织内部后的扩散感染攻击风险也会相应减少。
此外,微切分可以提高运维效率以及减低其成本。访问控制和防火墙策略的维护通常需要大量的管理开销并且难以扩展。而微切分能使分段定义和修改变得简单。
多重身份验证
如果你购买了提供强大安全性的工具,那么你可能已经看见过这个词了。多因素身份验证,或者说 MFA,是零信任结构的核心部分之一。基本上,这表示你需要多于一层的校验,才能被允许访问那些你想访问的文件夹或者应用程序。
所以,如果你尝试从应用中访问那些在计算机中未知的文件的时候,它将会提示你去通过多个步骤来确认你的身份 -- 例如向你的邮箱中发送验证码。这样可以确保应用级别上的每一步数据传输都是被进行监控以及猜测。
身份和访问管理
身份和访问管理(IAM) 能够使你通过创建和管理用户权限来安全有效地管理公司资源的访问。IAM也可以帮助你将零信任架构切分为最细粒度的级别和条件,例如指定到哪些天可以授予访问权限、所允许的 IP 地址端以以及每个应用实现的特定多因素身份验证方法。你甚至可以获得临时凭证,并且当不再允许用户查看文件或应用时,这些凭证将会失效。
细嗅蔷薇
网络安全是一场持久战。没有任何工具或者策略可以永远地防止黑客的入侵。但随着零信任架构的到来,你能够完全控制用户的权限和网络安全性。放下心来,你的应用会不断地”提防“潜在攻击的到来,并且那些设立在每个步骤的安全障碍也会使黑客的攻击变得更加困难。