盡管企業(yè)每年都在增加對網(wǎng)絡(luò)安全技術(shù)、基礎(chǔ)設(shè)施和服務(wù)的支出，但威脅參與者仍在想方設(shè)法躲過這些防御。這主要有兩個(gè)原因：第一，人為錯(cuò)誤：不幸的是，許多用戶仍然沒有認(rèn)真對待安全問題。他們訪問不應(yīng)該訪問的網(wǎng)站，點(diǎn)擊不應(yīng)該點(diǎn)擊的東西，在不應(yīng)該輸入憑據(jù)的地方輸入憑據(jù)。結(jié)果，他們的系統(tǒng)、身份和憑據(jù)被攻破，攻擊者可以輕松地攻破系統(tǒng)。

第二，對應(yīng)用程序的攻擊：攻擊者正在攻擊面向互聯(lián)網(wǎng)的應(yīng)用程序，并利用他們代碼中的錯(cuò)誤和漏洞。這是因?yàn)樵S多第三方應(yīng)用程序享有隱式信任，企業(yè)通常不會檢查它們的流量。最近的MoVEit黑客攻擊就是一個(gè)很好的例子，攻擊者利用了一個(gè)漏洞，破壞了1000多個(gè)企業(yè)的環(huán)境，竊取了6000多萬人的記錄。

城堡和護(hù)城河的安全方法已經(jīng)過時(shí)了

隨著越來越多的員工在公司外圍工作，并在云中訪問數(shù)據(jù)和SaaS應(yīng)用，傳統(tǒng)的城堡和護(hù)城河模式對網(wǎng)絡(luò)安全不再適用。此外，每個(gè)暴露于漏洞的企業(yè)都有防火墻，因此防火墻并不總是有效的。威脅參與者現(xiàn)在正在加密所有不好的東西，這些加密的流量正在使用合法通道(如端口443)直接通過防火墻。解密流量并不總是可行的。傳統(tǒng)防火墻通常缺乏能力或性能來檢查傳入的巨大云計(jì)算流量。出于這些原因，許多專家認(rèn)為零信任是答案。

零信任實(shí)施建議和最佳做法

在現(xiàn)實(shí)世界中，如果攻擊者出現(xiàn)在您的大樓并出示公司頒發(fā)的有效ID，他們將獲得對大樓的全面訪問權(quán)限。他們可以去任何部門，查看任何房間，進(jìn)入大樓的所有不同區(qū)域，然后離開。

零信任基于任何用戶、應(yīng)用程序或設(shè)備都不應(yīng)被隱式信任的原則。這意味著，如果攻擊者出現(xiàn)在您的建筑中，他們的身份將在他們訪問的每個(gè)房間和部門進(jìn)行驗(yàn)證，而不僅僅是在前門。美國政府現(xiàn)在要求所有政府機(jī)構(gòu)和承包商必須采用零信任技術(shù)和框架。

研究表明，雖然90%的企業(yè)正在采用零信任，但大多數(shù)企業(yè)在釋放其全部潛力方面存在問題。這是因?yàn)榱阈湃瘟钊死Щ螅踩?yīng)商一直在推銷它，就像可以買到現(xiàn)成的技術(shù)一樣。實(shí)際上，零信任更像是一種架構(gòu)(一種框架)，沒有什么靈丹妙藥。零信任就是最小化或控制爆炸半徑。以下是實(shí)施零信任時(shí)應(yīng)牢記的建議：

1、使用現(xiàn)代方法重新開始實(shí)施零信任

當(dāng)百視達(dá)試圖智勝Netflix時(shí)，他們將一堆DVD播放器連接到了云上。這顯然沒有產(chǎn)生正確的保真度，百視達(dá)破產(chǎn)了。從根本上說，他們做出了錯(cuò)誤的架構(gòu)選擇。同樣，在零信任的情況下，重要的是考慮技術(shù)債務(wù)并從頭開始構(gòu)建您的安全。如果企業(yè)只是簡單地將安全層放在上面，他們將造成更大的危害，引入更多漏洞，并為管理安全創(chuàng)造更多復(fù)雜性。

2、使用安全云減少攻擊面

永遠(yuǎn)記住這一點(diǎn)：如果你可以到達(dá)，你就是可以突破的。因此，如果應(yīng)用程序暴露在互聯(lián)網(wǎng)上，攻擊者很可能會破壞它。因此，應(yīng)用程序和服務(wù)器必須始終放置在安全云之后，以避免此攻擊媒介。現(xiàn)在，當(dāng)攻擊者敲你的門時(shí)，那是一個(gè)總機(jī)，而不是門。總機(jī)說：“好吧，你想去哪里?我會為你架起連接的橋梁。我不會將您直接連接到該應(yīng)用程序。這是零信任體系結(jié)構(gòu)的一個(gè)重要元素。

3、使用分段以防止側(cè)向移動

雖然網(wǎng)絡(luò)分割并不新鮮，但零信任鼓勵微分割。這意味著企業(yè)應(yīng)在粒度級別對網(wǎng)絡(luò)、工作負(fù)載和應(yīng)用進(jìn)行細(xì)分或分叉。如果攻擊者入侵您的環(huán)境，微分段有助于限制橫向移動，遏制威脅，并限制惡意軟件在整個(gè)環(huán)境中傳播。

4、部署細(xì)粒度用戶訪問

人為錯(cuò)誤是不可避免的。這就是大多數(shù)云入侵和勒索軟件攻擊發(fā)生的原因。如果攻擊者獲得對特權(quán)用戶帳戶的訪問權(quán)限，他們可以利用該帳戶竊取敏感信息、使系統(tǒng)脫機(jī)、劫持系統(tǒng)或在網(wǎng)絡(luò)中橫向移動并危害其他系統(tǒng)。在一個(gè)零信任的世界里，用戶可以訪問他們應(yīng)該訪問的東西，但除此之外什么都沒有。

被檢查的不僅僅是一個(gè)身份。您必須查看一些上下文參數(shù)(訪問時(shí)間、發(fā)出請求的位置、設(shè)備類型等)。要做到這一點(diǎn)，企業(yè)必須實(shí)施最小特權(quán)原則，應(yīng)用精細(xì)權(quán)限，并部署既考慮身份又考慮環(huán)境的身份驗(yàn)證機(jī)制。

5、始終牢記用戶體驗(yàn)

扼殺零信任項(xiàng)目的最快方式是擾亂用戶。如果您正確部署架構(gòu)，用戶體驗(yàn)實(shí)際上可以得到提升，這有助于減少內(nèi)部摩擦。例如，如果身份驗(yàn)證是無縫的，訪問和連接將更容易;用戶將欣然接受零信任。

違規(guī)是不可避免的——僅鎖門窗是不夠的。企業(yè)需要的是一種安全級別，即護(hù)送被蒙住眼睛的用戶到大樓所在的位置，然后護(hù)送他們到他們需要去的房間，然后護(hù)送他們離開，同時(shí)確保沒有任何東西被帶走或遺落。然而，如果企業(yè)遵循最佳實(shí)踐并專注于正確的架構(gòu)和用戶體驗(yàn)，他們肯定會建立更具彈性的網(wǎng)絡(luò)安全態(tài)勢，這是當(dāng)務(wù)之急。