在網(wǎng)絡(luò)安全領(lǐng)域，“零信任”概念(即設(shè)備在默認(rèn)情況下從不信任且始終經(jīng)過(guò)驗(yàn)證)并不新鮮。然而，隨著不斷發(fā)展的數(shù)字環(huán)境為日益增加的網(wǎng)絡(luò)威脅創(chuàng)造了環(huán)境，零信任對(duì)于澳大利亞的組織來(lái)說(shuō)比以往任何時(shí)候都更加重要。

　　零信任方法要求對(duì)設(shè)備進(jìn)行驗(yàn)證，即使它們之前已獲得網(wǎng)絡(luò)許可。現(xiàn)在，我們?cè)趥€(gè)人和專業(yè)環(huán)境中使用物聯(lián)網(wǎng)(IoT)連接的設(shè)備比以往任何時(shí)候都多。一般來(lái)說(shuō)，物聯(lián)網(wǎng)設(shè)備旨在以非常有效的方式提供單一服務(wù)-不幸的是，這意味著安全并不總是優(yōu)先考慮的事項(xiàng)。缺乏內(nèi)置安全性使設(shè)備容易受到攻擊，從而形成進(jìn)入整個(gè)組織網(wǎng)絡(luò)的潛在路徑。

　　根據(jù)最近的一項(xiàng)研究，雖然超過(guò)80%的澳大利亞組織認(rèn)識(shí)到需要更加關(guān)注零信任，但大多數(shù)公司在實(shí)施零信任時(shí)仍然優(yōu)先考慮用戶(54%)，而不是設(shè)備(24%)或網(wǎng)絡(luò)(17%)信任安全。隨著供應(yīng)鏈攻擊的增加，企業(yè)和組織在繼續(xù)數(shù)字化轉(zhuǎn)型之旅時(shí)必須做得更好。他們需要在網(wǎng)絡(luò)基礎(chǔ)設(shè)施戰(zhàn)略中優(yōu)先考慮網(wǎng)絡(luò)安全作為連接設(shè)備，而物聯(lián)網(wǎng)在其整體技術(shù)堆棧中發(fā)揮著越來(lái)越重要的作用。

　　零信任——基礎(chǔ)

　　網(wǎng)絡(luò)分段是關(guān)鍵的零信任原則。通過(guò)分離網(wǎng)絡(luò)元件，可以減少受感染設(shè)備的攻擊面，限制網(wǎng)絡(luò)上的橫向移動(dòng)，并且可以避免其他連接的系統(tǒng)。

　　從歷史上看，組織一直受到外圍防火墻以及建筑安全等物理訪問(wèn)的保護(hù)，因此信任邊界在物理上和隱式上都緊密一致。里面的東西受到保護(hù)，不受外界的影響。然而，隨著物聯(lián)網(wǎng)技術(shù)、集成供應(yīng)鏈、共享采購(gòu)模式和隨時(shí)隨地工作的快速采用，信任的邊界日益破裂。隨著網(wǎng)絡(luò)風(fēng)險(xiǎn)越來(lái)越大，這種方法需要不斷發(fā)展。

　　在零信任概念的情況下，信任是動(dòng)態(tài)的，不再是假設(shè)的——即使在網(wǎng)絡(luò)內(nèi)也是如此。相反，該結(jié)構(gòu)假設(shè)系統(tǒng)中已經(jīng)存在攻擊者。第一步是網(wǎng)絡(luò)訪問(wèn)控制(NAC)—識(shí)別對(duì)象并對(duì)連接的用戶進(jìn)行身份驗(yàn)證。第一級(jí)宏觀分段是根據(jù)這些因素設(shè)置的，并使用不同類別的對(duì)象和用戶之間的防火墻過(guò)濾流量。例如，您可以隔離監(jiān)控?cái)z像頭和建筑管理傳感器。

　　從那里開(kāi)始，第二級(jí)過(guò)濾位于段內(nèi)并且基于識(shí)別。第二步可以細(xì)化和實(shí)現(xiàn)微分段，例如防止監(jiān)控?cái)z像頭在同一網(wǎng)段內(nèi)相互通信，只允許流量流向網(wǎng)絡(luò)錄像機(jī)(NVR)。

　　零信任的好處

　　通過(guò)微觀和宏觀細(xì)分的智能組合，零信任方法圍繞每個(gè)用戶和對(duì)象構(gòu)建了受限的移動(dòng)安全邊界。然后，組織可以管理NAC、定義不同的授權(quán)并通過(guò)強(qiáng)大的安全策略保護(hù)和遏制威脅。同樣重要的是，組織必須假設(shè)系統(tǒng)已被破壞，監(jiān)控入侵并制定有效的響應(yīng)策略——這是《澳大利亞網(wǎng)絡(luò)安全原則》中提倡的方法。

　　網(wǎng)絡(luò)攻擊現(xiàn)在不可避免，組織可能面臨巨大的聲譽(yù)和財(cái)務(wù)損失。澳大利亞最近發(fā)生的備受矚目的數(shù)據(jù)泄露事件，包括Optus和Medibank泄露事件，已經(jīng)暴露了數(shù)百萬(wàn)條客戶記錄，包括個(gè)人身份信息(PII)和敏感的個(gè)人健康數(shù)據(jù)。兩家公司目前都面臨集體訴訟，公開(kāi)報(bào)價(jià)的風(fēng)險(xiǎn)成本分別為1.4億澳元和4500萬(wàn)澳元。通過(guò)在允許網(wǎng)絡(luò)訪問(wèn)之前對(duì)每個(gè)設(shè)備和用戶進(jìn)行身份驗(yàn)證和身份驗(yàn)證，網(wǎng)絡(luò)分段極大地限制了攻擊的范圍和傳播。

　　零信任的五個(gè)步驟

　　從頭開(kāi)始構(gòu)建零信任網(wǎng)絡(luò)并不太復(fù)雜。然而，由于大多數(shù)組織已經(jīng)擁有現(xiàn)有的基礎(chǔ)設(shè)施，因此面臨的挑戰(zhàn)是確保棕地和綠地網(wǎng)絡(luò)與安全元素之間采用和諧的方法和有效集成，以滿足組織的需求，同時(shí)確保其免受攻擊。

　　以下是采用零信任方法實(shí)現(xiàn)網(wǎng)絡(luò)安全的五步方法：

　　監(jiān)控：識(shí)別所有設(shè)備、外圍設(shè)備和連接的設(shè)備(從平板電腦到Wi-Fi吸塵器)并對(duì)所有有權(quán)訪問(wèn)網(wǎng)絡(luò)的員工進(jìn)行身份驗(yàn)證。系統(tǒng)會(huì)自動(dòng)創(chuàng)建并填充對(duì)象清單。

　　驗(yàn)證：檢查所有連接的設(shè)備并評(píng)估當(dāng)前授予的訪問(wèn)權(quán)限與實(shí)際需要的訪問(wèn)權(quán)限。應(yīng)用最小權(quán)限原則：授予執(zhí)行任務(wù)所需的最小權(quán)限。如果現(xiàn)有網(wǎng)絡(luò)顯示不合規(guī)設(shè)備，請(qǐng)實(shí)施恢復(fù)或補(bǔ)救計(jì)劃。

　　規(guī)劃：基于對(duì)設(shè)備、工作流程和生成流量的了解，將這些數(shù)據(jù)轉(zhuǎn)化為智能結(jié)合宏觀分段(輸入/輸出控制)和微觀分段(細(xì)粒度安全規(guī)則)的安全策略。

　　模擬：在“故障開(kāi)放”模式下應(yīng)用并行識(shí)別、認(rèn)證和安全策略：所有設(shè)備都將被授權(quán)，網(wǎng)絡(luò)行為將被記錄和索引，以設(shè)置授權(quán)方案和適應(yīng)的網(wǎng)絡(luò)安全策略。這一關(guān)鍵步驟完善了安全策略，同時(shí)確保正常活動(dòng)不受影響。

　　強(qiáng)制：在最后一步中，“失敗打開(kāi)”變?yōu)?ldquo;失敗關(guān)閉”：不容忍身份驗(yàn)證失敗;拒絕所有未引用的用戶或設(shè)備，并停止所有非法流量。網(wǎng)絡(luò)監(jiān)控會(huì)持續(xù)進(jìn)行，以驗(yàn)證所有設(shè)備是否已被識(shí)別。用戶經(jīng)過(guò)身份驗(yàn)證才能在網(wǎng)絡(luò)上獲得授權(quán)，或者在進(jìn)行安全檢查時(shí)可以被隔離。

　　人類往往是組織網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，根據(jù)Forrester的數(shù)據(jù)，亞太地區(qū)仍然是全球最常見(jiàn)的目標(biāo)區(qū)域。因此，持續(xù)驗(yàn)證、執(zhí)行，更重要的是，在檢測(cè)到違規(guī)行為時(shí)迅速檢測(cè)和響應(yīng)比以往任何時(shí)候都更加重要。

　　零信任既是一種身份驗(yàn)證策略，也是整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中一致的安全策略，根據(jù)用戶和連接技術(shù)的需求實(shí)施。在日益復(fù)雜和互聯(lián)的世界中，零信任方法是保護(hù)您的網(wǎng)絡(luò)和業(yè)務(wù)用戶和資產(chǎn)的最可能的策略。