零信任安全網路構建

隨著移動裝置湧入企業，物聯網(IoT)的擴張，以及網路罪犯數量和複雜程度的增長，許多安全專家認為零信任是抵禦不斷變化網路和資料安全威脅的較好方法。

網路安全漏洞往往會在最不可能的地方被發現。例如，彭博商業週刊(BloombergBusinessWeek)中的一個案例，在酒店房間的窗簾電動遙控上有一個網際網路埠，可以訪問酒店的內部計算機系統。網路安全承包商在一次安全審計中發現了該漏洞。這個案例說明了：在當今的互聯世界中，後門漏洞幾乎隨處可見。

“零信任”一詞是由Forrester Research的分析師在2013年提交給國家標準與技術研究所(NIST)的一份報告中提出的，該研究所是美國政府網路安全方案的一部分。因為移動和大資料使‘建造更堅固的牆’成為一場昂貴的鬧劇，無法充分保護網路安全，Forrester提出了零信任的概念。
零信任指的是一種網路設計理念，“要求透過態勢感知和強大的漏洞事件管理能力，將安全性構建到IT架構的DNA中。”簡言之，零信任是將“信任但需要驗證”方法轉化為“驗證而不信任”。

根據Forrester的說法，組織應該“從內到外”理想地重建網路，從“我們需要保護的系統資源和資料儲存庫”開始。但是，重建網路可能需要很長的時間。下面三個步驟，您可以將零信任安全原則引入已有網路中。

雖然密碼是大多數網路的第一道防線，但59%的使用者對多個帳戶擁有相同的密碼，而且很有可能剩下使用者的密碼只有幾個字元。
身份和訪問管理(IAM)解決方案使組織能夠透過應用多因素身份驗證(MFA)來增強安全性。多因素身份驗證可能需要生物特徵因素，如指紋，虹膜掃描，或使用物理物件，如支援FIDO2的裝置。

分割或微分割網路可以使網路被破壞時保持大部分網路的安全，從而最大限度地減少損壞。
實施網路微分割，例如下一代防火牆和資料安全控制，這樣入侵者即使能夠突破外圍防禦也不能訪問超過定義的資料子集。

除了保護網路之外，有效的零信任策略還包括監控訪問行為和分析模式和趨勢。
分析工具、跟蹤訪問行為以及識別模式、趨勢和潛在威脅可以增強資料安全性，從而增強客戶對網路的信任。
網路資料洩露使客戶資訊，企業智慧財產權、員工記錄等面臨風險。除了經濟損失、聲譽損失和客戶信心損失，如果發現其他違法行為，還可能承擔法律責任。駭客的網路攻擊從不休息，企業網路安全團隊也需要不斷應對網路攻擊，零信任網路構建可以為安全團隊提供有力武器。

原文地址： https://www.linuxprobe.com/security-zero-trust-network.html