背景简介

数字化转型，颠覆性技术的泛滥以及“在家工作”等新兴趋势使企业的数字边界消失了。随着边界的缩小，传统的外围安全解决方案已不足以应对从各个地方访问的日益增长的需求。

这些发展以及数据泄露和安全事件的惊人增加使信任的概念消失了。因此，零信任安全基于“永不信任，始终验证”（Never Trust, Always Verify）的宗旨，并将信任视为漏洞。零信任（Zero Trust）安全性要求严格且连续的身份验证，以最小化隐式信任区域。 NIST最近发布了零信任安全性蓝图，其中提供了有关如何构建有效的零信任安全性架构的指南。

本文的目的是评估NIST零信任指南，并提供有关如何实施有效的以身份为中心的零信任体系结构的具体指南，以期在外围环境中实现安全性。

零信任：超越“城堡和护城河”

早在1980年代，美国总统里根（Reagan）提到当时的苏联时，曾使用“信任但核实”一词。快进到2020年代，通过物联网，云交付和移动采用等技术的采用和扩散，企业的数字化转型已导致传统IT安全边界的瓦解。在这种环境中，当应用程序从云传递到云，用户无处不在且正在使用多个设备时，依赖单个信任点的能力就难以维持；所有互动本质上都是冒险的，因此必须采取“永远不要信任，永远要核实”的立场。

零信任是一项战略倡议和原则，旨在通过假设没有实体受信任来帮助组织防止数据泄露并保护其资产。美国国家标准技术研究院（NIST）将“零信任”定义为“概念和思想的集合，旨在在面对被视为已遭到破坏的网络时，在信息系统和服务中执行准确，最低特权的按请求的每请求访问决策方面的不确定性最小化。”

零信任超越了支配传统边界安全的“城堡和护城河”概念，认识到在安全方面，信任是一个漏洞。传统的安全概念认为，所有用户一次在公司网络中都会受到信任-包括威胁参与者和恶意内部人员。信任赋予了他们横向移动和自由访问或泄露他们不受限制的任何数据的权利。

图1：传统架构将用户视为在隐式信任区内受信任的用户

零信任是一种安全模型，需要严格的身份验证，并将决策转移到更接近资源的位置进行身份验证和授权。零信任的定义表明，它的重点是身份验证，授权，并在保持可用性和提供无缝身份验证机制的同时最小化隐式信任区域。访问规则尽可能细化，以强制执行执行请求的操作所需的最低特权。

为了实现其目标，零信任受以下基本原则支配：

• 对公司资源的访问由动态策略确定，在每个会话的基础上执行，并基于收集的有关客户端身份，应用程序/服务和请求资产的当前状态的信息进行更新，包括其他行为和环境属性

• 与资源的所有通信都必须经过身份验证、授权和加密

• 身份验证和授权与基础网络无关

• 企业监视并衡量所有拥有和关联资产的完整性和安全状况

零信任的新蓝图？

在现代的数字环境中，员工的流动性和客户的无处不在习惯要求随时随地访问资源，传统的外围安全措施似乎不足以保护其免受复杂的网络攻击。

依靠本地路由的传统安全解决方案的使用对云实施身份验证和授权会影响生产力，可扩展性和用户体验，并增加运营成本。依靠传统解决方案会导致复杂性，管理开销，并给用户带来迷雾与磨擦。

“使用依赖于本地路由的传统安全解决方案来强制对云进行身份验证和授权会影响生产力，可扩展性和用户体验。”

物联网、多云平台和容器的激增要求创建和管理众多身份验证身份。结果，企业变得越来越依赖身份和凭证。毫不奇怪，这些凭据是网络罪犯有吸引力的目标。凭据和身份盗用受损是安全事件和数据泄露的主要原因。

由于攻击面的扩大，GDPR、CCPA、PCI DSS和HIPAA等法规是基于问责制的，并要求对每个数据通信和过程进行强有力的认证和授权。

此外，全球工作环境正在发生变化。在COVID-19大流行的推动下，远程工作趋势加速了云平台的采用，并增加了在接入点基于上下文，自适应和动态决策有效地认证和授予对公司资源的访问的需求。

这些发展使NIST标准化了“零信任”架构。 NIST SP 800-207（零信任体系结构）是零信任的蓝图，并“提供了零信任可以改善企业整体信息技术安全状况的常规部署模型和用例。”该出版物的发行将导致零信任安全模型的更大采用。

NIST零信任架构的方法

NIST描述了构建有效的零信任安全体系结构的三种方法。

以身份为中心

零信任架构的以身份为中心的方法将用户、服务和设备的身份置于策略创建的核心。 企业资源访问策略基于身份和分配的属性。 访问公司资源的主要要求是基于授予给定用户、服务或设备的访问特权。 为了迎合更具适应性的身份验证，策略执行可能还会考虑其他因素，例如使用的设备、资产状态和环境因素。

图2：以NIST身份为中心的零信任架构方法。 资料来源：NIST SP 800-207

以网络为中心

零信任架构的以网络为中心的方法基于由网关安全组件保护的公司资源的网络微细分。 要实施此方法，企业应使用基础设施设备作为策略实施，例如：智能交换机（或路由器），下一代防火墙（NGFW）或软件定义的网络（SDN），以保护每个资源或一组相关资源。

图2：NIST以网络为中心的零信任架构方法。 改编自NIST SP 800-207。

以网络为中心的方法着重于将传统边界划分为多个子区域。 用户一旦进入区域即被认为是受信任的。虽然在一定程度上降低了风险，但以网络为中心的方法并不是无风险的，因为它假定实体一旦进入区域即受到信任。 因此，此方法将需要其他安全措施和强大的身份管理。

表1：以身份为中心和以网络为中心的零信任方法的比较

基于云的组合

基于云的零信任架构组合方法利用了服务边缘（SASE）上基于云的访问管理和软件。 基于云的访问管理解决方案可以保护和强制执行云应用程序和服务的身份，而SASE组件（例如软件定义网络（SDN）或下一代防火墙（NGFW））可以保护本地资源并监视网络流量。

图3：基于云的零信任组合架构方法。

通过Thales SafeNet Trusted Access（STA）实施零信任

现代企业安全边界不再是物理位置；它是分散在云中并从云中交付的一组访问点。现在，身份已成为新领域，应成为访问决策的核心。任何资源、用户、设备或服务的身份，都为访问策略的应用提供了关键上下文。

身份是企业最终希望保护的应用程序和数据资产的零信任安全性的基石。最大的挑战是采用全面的零信任安全解决方案，该解决方案涵盖身份和端到端数据。借助基于云的访问管理和身份验证解决方案，Thales可以全面满足企业的关键零信任安全需求。

SafeNet Trusted Access是有效的零信任安全实现的起点，同时满足零信任原则：

• 无论应用程序位于何处、用户位于何处、设备用户使用什么设备以及网络路由如何，都可以在应用程序访问点动态实施访问决策

• 第三方网络安全供应商技术（例如VPN、WAM、WAF、SASE等）的更新输入有助于访问决策。

• 即使启用了单点登录（SSO）功能，也会不断重新评估遵循“默认拒绝”立场的访问决策。

使用Thales SafeNet Trusted Access实施零信任的好处

使用SafeNet Trusted Access来实现以身份为中心的零信任体系结构有很多好处：

建筑逻辑方法

传统外围解决方案通过中央本地部署中心控制流量，该中心对于生成或路由到云的流量无效，可能会造成瓶颈和单点访问故障。 SafeNet Trusted Access网络诞生于云端。 因此，它不依赖于本地基础结构，并且可以控制云中的访问以避免瓶颈。 此外，由于所有身份验证和访问决策都在每个访问点上得到持续执行，因此SafeNet Trusted Access可在整个分散的网络环境中实现安全性，从而实现零信任方法。

灵活敏捷

SafeNet Trusted Access的核心优势之一是它的策略引擎，它允许设置非常灵活的访问策略。安全策略可满足创建非常细化和特定的规则的需要，以便在开放会话中不断重新评估用户，而不仅仅是某些事件，例如身份验证超时。如果风险级别发生变化，则SafeNet Trusted Access会强制用户重新进行身份验证或采用更强大的身份验证形式。可以为每个应用程序设置策略，将其应用于网络范围，操作系统以及用户集合和地理位置。可以根据动态云环境中的更改将身份验证规则建立为动态的，并根据具体情况进行设置。

易于部署、管理和可扩展性

SafeNet Trusted Access提供了一种简单且可扩展的方式来启用“在家工作”或“任何地方工作”。尽管SASE解决方案仍在发展，而旧有的解决方案不足以满足现代零信任的要求，但SafeNet Trusted Access平台已经可以使用，建立和验证。通过以身份为中心的零信任被所有技术和服务所消耗，SafeNet Trusted Access提供了一种面向未来的自适应解决方案，无论在何处都能保护公司资源。

流畅而熟悉的用户体验

无缝集成到广泛的应用程序和服务中的能力对于确保标准化的统一访问框架以及为最终用户提供一致的身份验证体验至关重要。 无论是基于云的应用程序还是基于VPN或Internet代理的受保护应用程序，SafeNet Trusted Access都可以在所有登录场景中提供一致的应用程序访问权限，并为所有应用程序应用统一的网络路由。最后，为应对日益增长的``在家工作''要求，SafeNet Trusted Access权限可以启用BYOD方案而不会损害安全性。

结论

在传统的“城堡与护城河”安全概念中，不良行为者一旦被视为企业网络内部的成员，便可以不受阻碍地自由漫游。 零信任安全概念使组织可以在云中安全增长，并适应无边界和分散的环境。 SafeNet Trusted Access通过确保在访问点处连续保护应用程序和服务的能力而确保“无人信任，遍地验证”的姿态来满足这些需求，而不管部署的基础网络，应用程序的位置，用户的位置如何或正在使用的终端设备。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 数据安全的未来是什么

• 最近公布的NIST后量子密码学标准的3个要点

• 零信任安全的演变

• 为什么零信任很重要？

• 为什么数字信任是必须的