信息化觀察網(wǎng)

安全專家們必須重新思考實現(xiàn)網(wǎng)絡安全和對應用及其它工作任務進行訪問控制的方法，尤其是在涉及到云時，這個問題尤其重要。

自從零信任近年來被人們所重視，許多安全專業(yè)人員已經(jīng)開始在安全項目中利用了零信任的原則。零信任的目標是改變當前的網(wǎng)絡安全方法，它主要引入了如下三方面：

首先，將整個環(huán)境看作是潛在不受信任的，或是遭到損害的，并與所謂的外部攻擊手段帶來的破壞形成對比。破壞力最強的攻擊場景幾乎越來越多地都來自內部，并且往往是由高級惡意軟件和損壞終端用戶的釣魚攻擊造成的。

其次，更好地理解端點上的應用程序行為。這要準確理解哪些得到許可的應用程序的網(wǎng)絡通信可以被傳輸。

第三，環(huán)境中的所有部分，都要從總體上專注信任關系和系統(tǒng)到系統(tǒng)的關系。安全團隊今天在企業(yè)網(wǎng)絡中所看到的大量通信可能完全沒有必要，或者與系統(tǒng)不相關，或者與業(yè)務所需要的應用無關。

保持云安全的新障礙

很多傳統(tǒng)的控制并不能夠完成安全目標。高度虛擬化和聚合的工作任務，以及擁有動態(tài)屬性的公有云等，都使問題變得更復雜。云端的工作任務經(jīng)常要在本地和外部的云服務環(huán)境之間遷移，或者在一家云服務供應商環(huán)境的不同部分之間遷移。

工作任務的性質也正在發(fā)生改變。例如，將工作任務上傳到公有云而不對其進行修改，幾乎是不可能的。有些企業(yè)已經(jīng)要求實施新的訪問控制的零信任，從而更好地適應動態(tài)的云部署模式。

零信任安全模式如何助力企業(yè)安全

到底什么是零信任？零信任是一種模式，它將IT 運營環(huán)境中的所有資產(chǎn)都默認看作是不被信任的，除非網(wǎng)絡通信和應用或服務行為被驗證和得到許可。零信任的概念在早期主要是對網(wǎng)絡訪問的位置和主機進行分段，并保障其安全。

如今，它已經(jīng)更多地集成到獨立服務器和工作任務中，用以檢查應用程序組件、二進制文件和應用架構中通信系統(tǒng)的行為。零信任的方法并不涉及到清除邊界。相反，在云的應用和部署中，這種模式使用網(wǎng)絡和應用層的微分段，從而盡可能地將邊界遷移到內部，盡最大可能靠近特權應用（包括移動應用）和受保護的范圍。

策略和微分段如何使利用零信任成為可能

為實施零信任的云安全，信息安全和運營團隊需要關注兩個關鍵概念。

首先，安全需要集成到工作任務中，既要在實例中存在，又要在不斷變化的云環(huán)境進行更新時保持訪問控制。通過創(chuàng)建一個策略強化層，不管工作任務運行到何地，企業(yè)都可以更好地保護數(shù)據(jù)而不管數(shù)據(jù)實例在何處運行。

在某些方面，這就將安全策略和訪問交還給個別實例，這與將其置于網(wǎng)絡內部相反。然而，公有云和混合云的架構設計并不能輕易地適應傳統(tǒng)的網(wǎng)絡分段模式。

其次，企業(yè)需要更好地理解運行在每個系統(tǒng)上的應用和服務的真實行為。與以往相比，系統(tǒng)和應用之間的關系要求企業(yè)進行更為嚴格的審查，目的是為了有助于一種高度受到限制的零信任的運營模式，從而不至于影響網(wǎng)絡連接。在固定的網(wǎng)絡強化點的背后，虛擬實例和容器等動態(tài)資產(chǎn)都難以進行定位。

企業(yè)可以采用一種零信任的微分段策略，允許通信在許可的系統(tǒng)和連接之間流動，而不管其所處的環(huán)境如何。這幾乎就是要求一種網(wǎng)絡策略和身份策略相結合，從而定義允許通信和行為的方法。不管環(huán)境如何，零信任的微分段可以防止攻擊者使用未經(jīng)許可的連接從受攻擊的應用進入系統(tǒng)。

從本質上說，零信任有助于構建密切關系策略，其中的系統(tǒng)擁有密切的相互關系、經(jīng)許可的應用和通信。任何通信企圖都要被評估，并且與這些策略進行比對，從而決定是否允許這些行為。

上述動作是持續(xù)發(fā)生的。有效的零信任控制技術還要包括一些機器學習功能，對企圖發(fā)生的行為執(zhí)行分析和處理。這種技術隨著時間的推移，能夠動態(tài)地適應工作任務和應用環(huán)境的變化。

實施零信任云安全的最佳方法

在部署零信任的工具和控制時，企業(yè)不妨關注如下最佳方法：

首先，可以從被動的應用程序發(fā)現(xiàn)開始，這往往與網(wǎng)絡通信的監(jiān)視一起實施?？梢钥紤]用幾周的時間發(fā)現(xiàn)已有的要素關系，并與那些理解正常流量模式和正常的系統(tǒng)通信的利益關系人進行協(xié)作。在確認了應當部署的正確關系后，應當實施強化策略，此措施要與應用程序的行為分析一起進行。

其次，不妨根據(jù)數(shù)據(jù)如何在網(wǎng)絡之間進行移動、用戶和應用如何訪問敏感信息等方面設計零信任架構。此步驟有助于決定如何網(wǎng)絡分段，還有助于安全團隊確定應當將保護和訪問控制安置在不同網(wǎng)絡分段邊界的什么地方。

第三，更高級的零信任工具往往與資產(chǎn)身份集成在一起，后者有可能是一個應用架構的一部分，并與某個業(yè)務部門、組或是一個具體系統(tǒng)類型的代表保持一致。因而，安全團隊不妨花點時間對系統(tǒng)和應用進行分類，這將有助于構建應用通信的基準和行為。

信息安全專家們擁有很多本地云工具，如云應用安全工具。此外，一些第三方的廠商現(xiàn)在也提供可以通過網(wǎng)絡、基于代理或是通過身份控制而隔離網(wǎng)絡和云應用的產(chǎn)品和服務。