零信任应该遵循模型而不是工具

零信任模型正在成为主流的理由是充分的。高级攻击的增加，以及包括迁移到混合云和远程工作在内的 IT 趋势，需要更严格和更精细的防御。

零信任可确保对每个设备、每个应用程序和每个获得每个资源访问权限的用户进行验证和授权，完全背离了旧模型。在旧模型中，隐式信任是常态，网络受到防火墙、VPN 和 Web 网关的保护。毕竟，在过去，假设防火墙内的任何人或任何东西都可以信任是足够安全的。

什么是零信任？

这个概念于 2010 年由 Forrester Research 首席分析师 John Kindervag 正式建模并命名。但这个想法在过去一年中已成为安全界的主流，因为 2020 年突然涌入远程工作暴露了隐式信任模型的缺陷。很明显，劫持远程工作人员是通过员工 VPN 进入防火墙的关键。

零信任也有额外的好处，有助于合规性审计并提供对网络的更好洞察，还支持微分段项目——关闭网络的不同部分以防止入侵者访问所有内容。

采用这种模式的最大挑战之一可以用一个词来概括：遗产。较旧的身份验证协议、工具、应用程序和其他资源可能更难以集成到零信任系统中，就是为什么该运动正在推动更换旧系统的新动力。

零信任是使用当今工具的新思维

零信任不是产品。这是一种依赖于新型治理的思维方式和整体方法。

开发人员将现有技术和计划中的更改（例如向混合云环境的过渡）拖放到服务中以实现零信任。它利用了诸如身份和访问管理、端点解决方案、身份保护工具和多因素身份验证等知名技术。

零信任心态的核心是授权的真正含义。也就是说，授权用户访问他们有权从授权设备通过授权渠道访问的应用程序是唯一最大程度提高安全性的情况。如果其中的任何部分不在网格中，则不应授予访问权限。

我们需要一个文化支点——我们如何看待数字防御的范式转变。零信任模型是动态且不断变化的。在您的系统验证用户和设备并确保最少访问后，监控、学习和适应至关重要。这意味着零信任是一个不断增长的、适应性强的过程。

不相信任何人

零信任范式转变要求以新的方式思考。在身份验证方面，一切都是资源。员工、用户设备、数据源、服务等，都具有相同的状态：系统默认不让它们进入。

资源身份验证不是一劳永逸的方法，而是动态的，并且在每次新的访问请求到来时应用。释放零信任力量的关键是对用户 ID、设备行为的实时可见性、设备凭据权限、设备位置、应用更新状态等属性。

此外，零信任心态降低了边界的作用。例如，无论是来自未知的外部来源还是来自组织的内部通信平台内部，都可以以相同的方式保护通信。以不同的方式思考所有事情听起来像是一个巨大的变化，但问题在于以不同的方式使用当今的工具，并通过这样做使数据更安全。

原文始发于微信公众号（河南等级保护测评）：零信任应该遵循模型而不是工具