零信任：新时代的网络安全

更新时间：2024年4月25日   阅读时长：约1分钟

零信任不仅仅是一个时髦词汇。它是网络安全的下一个步骤。在过去的十年里，由于内部和外部威胁，组织面临的安全事件数量有所增加。根据 ManageEngine 在 2021 年的数字准备调查，我们得出结论，钓鱼、网络端点攻击和恶意软件是最突出的安全威胁，但只有 26% 的组织选择实施零信任。零信任不再是一个选择，而是一个必然。在 ManageEngine，我们已经开始在我们的网络中实施零信任，以防止这些可预防的攻击。零信任建立在三个原则之上。

㈠ 零信任的三个原则

1. 最小权限原则：

最小权限原则是限制用户对资源访问的做法，只提供足够满足其执行任务的权限。这个原则也适用于请求授权的系统、流程、设备和应用。

2. 不信任则验证：

隐式信任一直是安全性的一个弱点。我们知道在网络中不能盲目信任每个人。采用零信任，我们缩小了隐式信任区域，并强制执行持续的显式验证。

3. 假定遭到入侵：

在安全领域，做悲观主义者是有帮助的：假定入侵已经发生或正在发生。微分隔允许你控制受影响的范围，并阻止入侵的扩散。

㈡ 评估 ManageEngine 的安全模式

传统的城堡和壕沟模型是在假设网络内的每个人都是可信的前提下运作的。它能够排除外部威胁和漏洞，但并未考虑内部用户或设备。这在将近20年的时间里一直是标准策略。现在，这已经过时了。当 ManageEngine 的员工每天都在办公室工作时，基于边界的安全模型是有效的。对信息的访问仅通过公司的Wi-Fi授予。在疫情爆发前，远程工作还不是主流。除了开发团队和一些远程员工外，ManageEngine 对 VPN 的需求并不重。当疫情爆发时，所有人都转向远程工作。与此同时，我们正在为多个团队招聘新员工。

㈢ ManageEngine 面临的挑战

1. 容量：VPN 用户数量激增，导致移动数据的性能缓慢和连接问题，我们不得不限制带宽以优化网络性能。

2. 有限的验证：仅通过用户名和密码授权VPN访问存在安全隐患，如使用通用密码或在笔记应用中存储密码。

3. 可见性：VPN 日志不够全面，无法准确追踪用户访问行为。

4. 访问控制：无法从被入侵的设备或账户中收回权限，增加了系统的漏洞。

5. 成本：扩展VPN以满足印度分支办公室的需求成本高昂，因为我们使用了第三方服务。

管理团队意识到，为了保持业务正常运转，他们必须加强安全措施。我们的安全团队开始行动——是时候寻找一个比VPN更强大的替代方案了。

㈣ 为什么现在开始零信任之旅？

疫情不但迫使企业员工远程进行办公，对企业安全也造成了极大的挑战。Zoho已拥有超过12,000名员工，并正在逐渐过渡到混合工作模式。平衡办公室和远程团队需要一个复杂的安全框架。一个成功的企业总是网络攻击的最大目标。这是不可避免的。它面临着不断进化的外部威胁、内部攻击、漏洞等风险。在过去几年中，我们注意到潜在威胁的增加。因此，ManageEngine决定开始实施零信任。零信任并不是万无一失的。攻击仍然存在空间，但零信任是一种额外的保护形式，每个组织都必须投资。