零信任架构
零信任架构
企业中计算和数据的结构不断变化:从单一应用程序到微服务;从集中式数据湖到数据网格;从本地托管到聚合云。与此同时,随着连接设备的激增,保护企业资产的方法在很大程度上仍保持不变。随着资产(数据、功能、基础架构和用户)跨越安全边界(本地主机,多云提供商以及各种 SaaS 供应商),组织的技术版图正在变得越来越复杂。这就要求企业安全计划和系统架构进行范式转变:从基于信任区和网络配置的静态、缓慢改变的安全策略,转变为基于临时访问权限的动态、细粒度的安全策略。这种持续的趋势迫使我们再次强调“零信任架构”。
零信任架构(Zero trust architecture,ZTA)是组织针对其所有资产(设备、基础设施、服务、数据及用户)实施零信任安全原则的策略和流程,以及对最佳实践的践行(包括不论网络位置确保所有访问和通信的安全、强制基于最小权限原则并尽可能细粒度控制的策略即代码、持续监控和自动缓解威胁等)。零信任架构是安全体系结构及策略的一种模式转变。它基于这样的假设:网络边界不再代表安全边界,不应仅基于物理或网络位置授予用户或服务隐式信任。用于实现零信任架构各个方面的资源,工具以及平台的数量持续增长,其中包括:以最小特权为基础,执行安全策略即代码,尽可能细化原则,并持续监控和自动缓解威胁;使用服务网格来实施应用到服务和服务到服务的安全控制;使用二进制鉴证以验证二进制文件的来源;除传统加密外,还包括安全区域,以强制实施数据安全性的三大支柱:传输,静态和内存。