企业网络安全的零信任方法假设与企业系统和网络的连接不应该是可信的。它需要在初始连接之前对用户、设备和系统进行身份验证，并在访问网络、系统和数据之前进行多点重新验证。

零信任安全模型基于消除隐式信任和实施强大（身份和访问管理）IAM 控制的概念，以确保只有授权的个人、设备和应用程序才能访问组织的系统和数据。这种方法显着降低了未经授权访问、内部威胁和恶意攻击的风险。

根据 IAM 软件供应商 Okta 的一份报告，越来越多的组织采用零信任方法。该报告表明，55% 的受访者实施了零信任计划，与 Okta 2021 年报告中报告的 24% 相比有了显着增长。

从基于边界的安全到零信任的转变

企业网络安全的零信任方法不同于基于边界的安全，后者使用防火墙和其他工具在组织的 IT 环境周围创建边界。基于边界的安全性假设边界内的所有用户和设备都受到信任，为他们提供对边界内所有系统的广泛或不受限制的访问。

在过去的二十年里，由于商业互联网、云计算、移动通信、物联网和远程工作政策的增加，组织的边界已经瓦解。这导致需要访问周边系统的员工、业务合作伙伴、设备和应用程序的数量显着增加，反之亦然。

为了防止组织成为不良行为者的目标，他们发起的攻击可能会混入不断增加的流量中，零信任方法消除了隐式信任，并要求授权用户、设备和系统在获得访问权限之前证明其授权。这有助于限制此类攻击造成的损害并维护安全性。

零信任方法实施各种策略、IT 架构设计和技术，包括最小特权原则、微分段、MFA、端点监控和行为分析。

零信任安全的时间表

在 2004 年之前，基于边界的方法的局限性很明显。

传统的基于边界的安全方法已普遍使用多年，但在 21 世纪的前二十年云计算的兴起使企业重新评估其防御策略。这导致安全团队采取的方法发生了必要的转变。

2004 年，零信任的种子播下了。

零信任框架源于 2004 年杰里科论坛提出的想法。这个安全联盟，现在是The Open Group Security Forum的一部分，认识到边界防御方法的缺陷，并提出了一个新的安全概念，称为“去边界化”，这涉及实施多级安全措施，例如加密和数据级身份验证。

“零信任”一词于 2010 年引入。

Forrester Research 分析师约翰·金德瓦格 (John Kindervag)推广了“零信任”一词，它建议组织不应将信任扩展到其边界内外的任何事物。

谷歌于 2011 年发布 BeyondCorp

BeyondCorp 最初由谷歌于 2009 年开发，作为对名为Operation Aurora的 APT 攻击的回应。其目的是让员工无需 VPN 即可远程工作。

2018年，零信任概念及其核心原则被确立。

Forrester 在 2018 年引入了零信任扩展生态系统概念，该概念引入了零信任的七个核心支柱。

美国国家标准技术研究院 (NIST) 发布了第一版 SP 800-207，为零信任架构的核心组件提供了指南。

2019：ZTNA 到来

2019 年，Gartner 引入了术语零信任网络访问 (ZTNA) 和网络模型安全访问服务边缘 (SESE)，以增强零信任框架的可用防御层。

2021：

零信任越来越受欢迎

根据微软 2021 年的“零信任采纳报告”，参与的安全决策者中有 96% 承认零信任对其组织取得成功的重要性。

采用零信任的主要原因是提高了安全性和合规性敏捷性，以及需要更快的威胁检测和补救。该报告还指出，在 COVID-19 大流行期间，远程和混合工作选项的扩展有助于更多地采用零信任。

白宫发布零信任战略

私营部门正在实施零信任战略，美国联邦政府也开始努力推进联邦政府机构的零信任安全措施。

2021 年 5 月

美国总统乔拜登发布了一项行政命令，重点是加强国家的网络安全，特别强调加强关键基础设施的网络防御。该命令还包括指示联邦政府努力实现零信任架构，并概述了实现这一目标的具体措施。

2021 年 9 月

美国管理和预算办公室 (OMB) 发布了使联邦政府走向零信任的战略草案。一些分析人士认为，这使联邦政府在零信任实施方面领先于私营部门。网络安全和基础设施安全局 (CISA) 还发布了其云安全技术参考架构和零信任成熟度模型以征询公众意见。CISA 解释说，机构必须围绕云安全和零信任实施数据保护措施。该机构的模型旨在指导机构安全迁移到云端，并帮助他们制定零信任战略和实施计划。

发布公告后，美国政府机构采取了相应的行动。

2022：

2022 年 1 月，OMB 分享了有关他们促进联邦政府零信任倡议计划的信息。

OMB 代理主任 Shalanda D. Young 于 2022 年 3 月 26 日发布了一份备忘录，通知行政部门和机构负责人，联邦机构必须在 2024 财年结束前遵守特定的网络安全标准和目标。这是为了加强政府对复杂技术的防御和持续的威胁活动。联邦机构必须在 2024 年 9 月底之前实现五个零信任目标，其中包括身份、设备、网络、应用程序和数据。

2022 年 6 月，CISA 发布了由另外两个联邦机构共同编写的第二版云安全技术参考架构。执行摘要指出，该文件的目的是帮助联邦实体采用和实施零信任架构。

根据 Okta 的《2022 年零信任安全状况》报告，政府组织目前正在带头实施零信任安全措施。该报告发现，接受调查的政府组织中有 72% 有明确的举措或计划启动一项举措，而全球非政府组织的这一比例为 55%。

2023 年及以后

在过去十年中，零信任的概念已经从考虑中的安全措施转变为保护全球组织安全的常用方法。微软 2021 年报告表明，76% 的组织已经开始实施零信任战略，而 35% 的组织认为他们已经完全实施。

组织采用零信任的趋势预计会增加。由于零信任不是特定供应商销售的单一产品，许多组织已经实施了符合零信任原则的措施。有些人可能比他们意识到的更进一步。

安全专家认为，各行各业的许多组织在实施零信任方面仍有改进空间。这将需要增强政策和技术工具，以及改进部署和利用方法。

联邦政府的指导方针影响了各实体，例如州和地方政府、大学和关键基础设施公司，采用先验证后信任的原则。

为了促进零信任的发展，各种分析公司和组织制定了零信任实施路线图。这些路线图为寻求了解其当前零信任状态并建立完整的先验证后信任安全立场的组织提供了分步指导。

揽阁信息在数字证书、身份认证、密钥管理、数据保护等方面拥有超过17年的从业经验，可以为您和您的组织提供基于零信任的解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 数据安全的未来是什么

• 通过开放式创新加快制造商的上市时间

• 金融服务行业的3个数据治理经验教训

• Thales发布适用macOS Sonoma的SAC 10.8 R2补丁

• EV SSL 证书：优点和缺点