零信任技术架构

2023-03-14

随着公司业务发展和数据安全威胁不断加剧，越来越多的企业开始引入“零信任”技术架构来保障数据安全。本文将就“零信任”技术架构进行详细阐述。

一、“零信任”技术架构背景

过去的企业网络环境多以固定边界和防御方式为主。但随着移动化、云计算和物联网的出现，传统的防御模式已经显得力不从心。由于各种协议、应用和操作系统的广泛使用，网络边界的模糊化也导致防御困难。

而“零信任”(Zero Trust)架构则基于一种更加极端的策略：不信任任何人或组织、任何网络主机、甚至内部的员工。这里“零信任”并非指不信任所有用户，而是指在保护数据时，不论被用户所属的网络位置、身份、归属部门等等因素，都要以同等标准验证其身份和授权。换句话说，任何人、任何设备和任何数据都需要进行严格身份和权限验证，而这种验证和授权只有在被授权的情况下才能访问或操作相关数据或系统。

在“零信任”技术架构中，每个数据请求都需要进行严格的身份验证和授权审批，这样才能让访问用户以及相应的设备、应用和数据得到保障。最终实现的是什么？即数据主权，即谁控制数据谁就能访问数据。

二、“零信任”技术架构的基本特点

1、以用户为中心：这种技术架构以用户而非网络作为出发点，数据请求者会在通过验证后才能访问数据，同时也会持续有序地检查确认。

2、基于安全的上下文：当数据请求者连接到网络时，“零信任”技术架构会综合考虑多种安全上下文，如设备健康状况、用户的网络位置、设备ID等信息，并且在整个连接期间都会持续监控。

3、多层次安全控制：在“零信任”技术架构中，可能包含多种安全控制方式，这些控制方式可以建立在用户身份验证、身份识别和身份授权的基础之上。同时，安全控制还应当放置在请求者与数据之间的每一个连接处，确保可以更全面地保障系统安全。

4、最小化数据访问：对于涉及企业重要数据的访问者，采取最小化访问策略是至关重要的，企业应当采用不同的授权方法，对不同的用户分配最高级别的权限，从而确保他们只能访问到他们能够完成任务所必需的数据，避免对其他数据进行操作。

三、“零信任”技术架构的应用及实现

目前市场上的大部分安全服务商都提供“零信任”技术架构，其中比较优秀的应该包括谷歌(Google)NAC(Native Access Client)、微软Azure AD(Active Directory)、VMwareWorkspace One Access等等。

在实现“零信任”技术架构时，多层次的设备安全控制、AI人工智能的安全监测、网络安全流量分析等技术都需要同时融合进来。其中采用数据管理平台，对敏感数据加密，采用人工智能对用户行为进行分析监控等措施，可以帮助企业建立更加健康、可靠的“零信任”体系。

四、总结

“零信任”技术架构的应用可以帮助企业构建更加完善、更具安全性的网络系统。然而，实现“零信任”技术架构并不是一件轻松的事情，企业必须在业务、流程和技术方面进行全面的变革。只有建立可信任性和数据完整性，才能在面对各种内部和外部安全威胁时保护企业的数据和资产安全。