零信任安全的四個關鍵原則

由于網絡犯罪威脅著各種規模和各行業的企業，很多企業已經意識到其安全現狀已經難以滿足需求，必須實施零信任。

零信任是一種安全模型，可以概括為“從不信任，始終驗證”。換句話說，無論是從企業網絡內部還是外部嘗試連接到系統或數據，未經驗證都不會授予訪問權限。

許多企業可能承諾采用零信任模型，但無法通過單一技術或解決方案實現。與其相反，它是一種需要由企業整體采用的整體安全方法，依靠技術和治理流程的組合來保護IT環境。為了使其有效，需要在企業的每個層面進行技術和運營的變革。

要采用零信任模型，需要牢記以下四個原則：

1.物理安全

對于所有形式的計算，無論是在內部部署設施還是在云中，數據中心仍然代表著處理和存儲客戶數據的中心。更重要的是，它還代表了抵御網絡盜竊的第一道防線。

首先，物理安全包括對數據中心的現場監控，例如采用全天候的安全攝像頭、專業的安全團隊在現場巡邏。

其次，必須通過批準的訪問列表來控制對所有設施的訪問。這意味著名單上的每個人都有與他們的門禁卡相關聯的照片和生物識別檔案;要進入數據大廳，經過批準的人員必須刷卡并驗證其生物特征，然后才能獲得訪問權限。

還必須確保電源、冷卻和滅火等關鍵環境要素的安全，以便在發生電源故障或火災時使系統保持在線狀態。

2.邏輯安全

邏輯安全是指技術配置和軟件的各個層，它們相結合創建了安全穩定的基礎。邏輯安全應用于網絡層、存儲層和管理程序層。

在網絡層，客戶防火墻后面的兩個網段不能以任何方式重疊或交互。通過將安全邊界與該邊界后面的網絡隔離相結合，企業的網絡流量是專用的，并且對平臺上的任何其他客戶都是不可見的。

對于存儲平臺，繼續采用分段、隔離和安全劃界的概念。

最后，不要忘記虛擬機監控程序。與網絡和存儲一樣，實現邏輯分段是為了避免爭用問題，通常稱之為“嘈雜的鄰居”。通過確保資源在邏輯上分配給各個客戶，該資源被標記為在他們的私人環境中使用。

3.流程

沒有經過培訓和經驗豐富的人員，采用任何物理或邏輯安全解決方案都是無效的。如果管理系統的人員不理解或不知道如何在為保護各種系統而建立的控制范圍內工作，則解決方案將失敗。很簡單，人們不會在家庭安全系統上花上幾千美元的費用。

安全流程甚至在員工入職企業之前就開始了，并在開始工作之前進行了背景調查。一經聘用，所有員工都應在入職流程中接受安全和合規培訓，并至少每六個月接受一次安全培訓。

要使用零信任模型進行操作，除非另有證明，否則強制執行“拒絕訪問”是關鍵步驟。通過基于角色的訪問控制(RBAC)模型授予訪問權限，根據其功能為特定個人提供訪問權限。除了基于角色的訪問控制(RBAC)之外，特權帳戶還配置為使用雙因素身份驗證進行操作。這是訪問關鍵系統所需的更高級別的授權。除了當前的授權之外，所有員工都要接受定期訪問審查，以確定并確保他們在更改角色、團隊或部門后仍然需要訪問權限。

更通用的面向流程的安全活動包括所有系統的年度滲透測試和定期修補計劃。

4.持續審計

最后，必須定期審查和審核現有的流程和系統，以確保合規性并遵守企業的安全標準。在金融服務和醫療保健等高度監管的行業中，這一點尤其重要。

無論企業現在還是將來追求零信任，上述各種物理、邏輯、流程和審計元素都可以作為確保數據安全的起點。