零信任不是網絡安全的敵人

零信任和加密的普及將犧牲一些網絡可見性，導致大量傳統網絡安全工具“失明”。

越來越嚴格的合規要求和零信任架構的普及正在推動企業網絡進入全面加密的時代，這反過來又迫使網絡安全專家改變原有的網絡安全方法。

根據Gartner的信息安全和風險管理研究預測，到2024年全球75%的人口的個人數據將受到隱私法規的保護。受到遠程工作者增加的推動，零信任網絡訪問（ZTNA）將是增長最快的網絡安全細分市場，預計到2023年將增長31%。混合辦公的趨勢已經不可逆轉，VPN也將被零信任網絡訪問替代。

零信任的“副作用”

零信任網絡訪問能夠極大改善企業的網絡安全態勢。隨著原子化網絡的不斷發展以及應用程序和人員的“隨時隨地”，零信任網絡訪問提供了對移動性和訪問的更大控制。與傳統的一次驗證，到處訪問（資源和設備）的安全控制不同，零信任針對每次訪問都會進行驗證和授權（永不信任，始終驗證）。

但是，零信任網絡訪問使用加密來保護所有連接，這也產生了一個不容忽視的新的安全難題。因為加密的普及意味著犧牲網絡可見性，導致大量傳統安全工具的“失明”。

即便是使用安全訪問服務邊緣（SASE）平臺管理零信任網絡訪問的企業也會為了身份驗證和加密而犧牲一定程度的可見性。當用戶連接到其提供商的專用云時，SASE將管理身份驗證和授權。從用戶的角度來看，這種體驗非常“絲滑無縫”，但安全團隊卻“有苦難言”，因為這意味著他們失去了完成安全管理工作的“抓手”，只能查看身份驗證日志和訪問日志，無法實時查看云環境中實際發生的情況。

其實零信任并非“加密蔓延”的唯一原因。即使企業不采用零信任方法，仍然會為了保護數據隱私或滿足合規要求而實施加密，應用于面向互聯網的主機，以及內部保護靜態和傳輸中的數據。

加密與檢測的風險悖論

隨著加密變得無處不在，企業安全團隊面臨的第一個挑戰就是故障排除和威脅搜尋等操作的復雜性增加。加密蔓延和網絡原子化趨勢正迫使企業棄用許多基于深度數據包檢測（DPI）和數據包捕獲技術的傳統工具，因為加密使這些工具的部署和管理成本和復雜性大大增加。

傳統的安全思維是，為了檢測和響應，安全團隊必須看到一切，這意味著必須解密一切，但這個邏輯已經難以適應今天的數字環境。在沒有定義安全邊界的離散動態環境中，對其中某個設備（的流量）進行解密正變得越來越困難。我們有越來越多的流量要解密，越來越多的證書要管理，任何需要破壞加密以進行檢測和響應的點都可能是敏感數據的暴露點。這似乎產生了一個悖論：為了保證網絡安全，我們往往需要引入更多（數據泄露）風險。

零信任不是網絡安全的敵人

網絡安全行業當下迫切需要一個全新的網絡安全方法，在進行威脅檢測和響應時，即保證網絡安全的可見性，同時又不引入額外的數據安全風險。

許多計算機設備都安裝了端點檢測響應（EDR）代理，這些代理提供對網絡上的主機和本地進程的可見性。但是，并非IT環境中的每個聯網設備都能夠支持EDR代理，并且EDR無法實時提供對網絡流量的可見性。而流數據形式的元數據此時可以發揮作用，無需捕獲和檢查每個數據包即可查看和監視網絡流量以進行檢測和響應。元數據在多云、本地和混合環境中廣泛可用，并且在使用上下文進行富化時，可以對整個原子化網絡中的流量提供高級實時可見性。

總的來說，EDR和元數據可以很好地監測網絡上的信息、正在執行的操作以及正在發生的情況，并且可以在不破壞加密的情況下檢測大多數攻擊。在我們看到需要更深入研究的異常行為的情況下，我們可以縮小調查和解密范圍。通過將程序配置為僅在必要時解密，我們可以相應地降低風險狀況，同時最大限度地降低數據安全的成本和復雜性。

事實證明，加密和零信任與原子化網絡安全并不存在不可調和的矛盾，相反，零信任正在推動網絡安全方法的進化。企業不再需要全域全生命周期100%加密（難以擴展并帶來新的風險），享受零信任和加密組合的好處，并且不會犧牲原子化網絡安全防護的全面可見性和覆蓋范圍。