零信任——云計算網絡攻擊的一線希望

　　作者│Michael Usiagwu

　　譯者│夏東威

　　最近幾年，網絡攻擊的嚴重性和復雜性有所增加，這可能只是網絡安全的一個重要轉折點，盡管姍姍來遲。安全從業者關于企業和組織使用零信任等技術保護云技術的呼聲從未如此之高，也不難看出原因。

　　零信任不是隱式信任用戶或設備，而是默認情況下假設已經發生了違規行為，并且帳戶已被泄露；然后，在允許用戶訪問企業網絡、應用程序和工具之前，它會對用戶進行嚴格、持續的測試，以證明其身份。這對于防范基于身份和訪問的安全風險非常重要。

　　零信任技術安全模型消除了對用戶身份驗證和驗證過程的信任，并強調基于身份的安全性，尤其是周圍環境的安全性。

　　這與不那么現代、更傳統的身份驗證方式形成了鮮明對比，在這種方式中，人、設備和網絡享有固有的信任。零信任技術確保網絡上試圖訪問的每個設備都通過驗證獲得信任。

　　隨著面向私人和公共部門面臨的網絡威脅越來越持久，保護它們的安全技術至關重要，甚至更好，甚至比網絡攻擊所使用的技術還要領先一步。這對于完全防止網絡攻擊至關重要，因為網絡攻擊的負面影響有時太可怕，企業無法從中恢復。

　　根據2021泰勒斯全球云（Thales Global

Cloud）安全研究，五分之一（21%）的企業在云端擁有他們大部分的敏感數據。然而，云中的敏感數據一旦出現就變得非常令人望而生畏。

　　你會發現，40%的受訪企業在去年報告了漏洞，而只有17%的受訪企業對他們存儲在云中的一半以上的數據進行了加密。

　　然而，在這些受訪企業采用了多云方法的情況下，這些對數據進行加密的企業數字下降到了15%。

　　此外，隨著越來越多的員工在家中舒適地遠程工作，組織和企業意識到，他們的安全參數和技術必須擴展到企業周邊領域。

　　企業還必須滿足員工遠程訪問公司網絡、數據和資源的日益增長的需求。這意味著傳統的遺留用戶身份驗證和訪問控制變得不充分——因為它們無法保證云技術的安全，也無法防止未經授權的使用。

　　云計算提供了許多好處，因此被組織和企業廣泛用于互聯網上的數據存儲和管理。隨著技術的進步，企業在云計算機和服務器上存儲的數據量急劇增加。

　　因此，保護云基礎設施免受由于采用多個基于云的應用程序、服務和解決方案而可能形成的潛在威脅至關重要。

　　組織的云基礎設施面臨的重大風險是未經授權訪問數據和數據泄露。

　　根據云安全聚焦報告，55%的受訪者認為，通過不當訪問控制和濫用員工憑據進行的未經授權訪問是最大的云安全威脅之一。

　　黑客、有惡意意圖的內部人員，甚至在某些情況下，第三方供應商，可能會獲得對企業數據、網絡、端點、設備或應用程序的訪問權。

　　未經授權訪問數據以及隨之而來的數據泄露可能會對組織造成毀滅性影響；財務的影響、對公司聲譽的不可逆轉的損害、監管影響導致的財務困境、法律責任、事故響應成本，以及市場價值下降。

　　實施云安全系統對于保護企業資源和云基礎設施至關重要。

　　企業應該利用零信任的技術優勢和安全進步來提高用戶和應用程序的可視性，防止甚至消除基于身份的網絡攻擊。

　　零信任并不是指涉及用戶身份、遠程用戶訪問或網絡分割的單一技術。相反，它是網絡防御背后的底層技術向更全面的It安全模型的轉變，該模型允許組織在不犧牲性能和用戶體驗的情況下限制對網絡、應用程序和環境的訪問控制。

　　零信任是一種網絡安全戰略或框架，其中必須建立安全的網絡和云基礎設施，以確保最大程度的安全。

　　它通過用戶身份驗證、驗證和訪問管理來保護云技術。不幸的是，今天的云環境可能是充滿敵意的地方，托管關鍵業務和敏感數據，使它們成為黑客網絡攻擊的主要目標，黑客意圖竊取、破壞或劫持敏感數據作為贖金。

　　對基于零信任的安全技術的支持來自安全從業者和政府機構。例如，拜登總統簽署了2021年5月12日零信任執行令，要求所有美國政府機構都基于其安全系統中的零信任安全模型，包括多因素認證（MFA），基本上驗證和認可了零信任原則和安全框架。

　　如果再加上美國政府的支持，頂級網絡安全專家的支持將大大有助于證明零信任安全的有效性和完整性。零信任技術使云計算和技術的重要方面現代化并得到保障。

　　與云存儲和計算相關的最大擔憂是可見性和訪問管理的喪失。零信任策略利用身份驗證、身份驗證因素、授權控制以及其他身份和訪問管理（IAM）和網絡安全功能，在授予任何級別的信任之前對用戶進行驗證。

　　零信任旨在驗證請求訪問的用戶的身份，并確定用戶應該訪問哪些資源以及訪問權限。這對于防止內部威脅、將敏感數據和信息僅限于必要的個人有很大幫助。

　　通過將零信任安全框架和架構應用于云技術，企業可以完全控制誰可以訪問其云資產以及訪問程度；它還賦予公司在必要時授予和撤銷特定用戶對特定資產的訪問權限的權力，從而賦予他們對系統的更多可見性和控制權。

　　因為零信任是基于“最小特權”的概念，所以每個用戶或設備，甚至是之前登錄到網絡的用戶或設備，都被認為受到了威脅。這樣做可以降低數據泄露和網絡攻擊的風險，因為黑客需要在訪問企業資產之前驗證自己的身份。

　　正確的身份驗證在保護安全系統免受網絡攻擊和數據泄露方面大有幫助，從而減少和消除構建不良、不安全的安全系統的風險。此外，零信任保護企業在云基礎設施上持有的個人和有價值的數據，從而防止價值數百萬美元的損失，保護品牌聲譽。

　　零信任不需要為用戶體驗提供過于復雜和不友好的方法，因為它可能會使用生物識別等用戶友好的身份驗證技術。而其復雜而高效的訪問控制協議在幕后執行，最終用戶看不見。

　　如果實施得當，零信任將使企業和組織能夠提供和部署用戶友好、無縫的身份驗證和技術工具，從而提高最終用戶的采用率，提高資產的安全性。零信任還簡化了最終用戶體驗，無需管理員批準即可訪問網絡中的資產。

　　所有這些零信任接觸最終將被用于將數字安全提升到新的高度，更多的企業最終將采用它們。毫無疑問，上述討論的方法將有助于組織進入不斷變化的數字技術和安全領域。

　　網絡安全專家不信任零信任，也不推薦零信任保護系統的能力。但由于零信任能夠做到這一點，并提高安全可見性，同時提供出色的用戶體驗，它還是得到了應用。

　　零信任絕對是改變云安全格局的技術。零信任不僅提高了組織的云安全性，還充分利用了企業應用程序，而不會損失性能或對用戶體驗造成負面影響，從而使企業看到了保護其云資產的必要性，以及客戶對便捷無縫技術的需要。

　　隨著最近網絡攻擊的數量和嚴重程度的上升，認為未來的網絡安全形勢將比今天更動蕩是不現實的。有鑒于此，決策者和企業IT部門最好從戰略上考慮部署基于零信任安全系統的強大安全系統。

　　原文標題：Zero Trust – The Silver Lining to Cloud Cyber Attacks

　　原文鏈接：https://readwrite.com/zero-trust-the-silver-lining-to-cloud-cyber-attacks/

　　夏東威，51CTO社區編輯，信息系統項目師，中國人民大學傳播學碩士。具有復合型知識結構，有20多年IT上市公司市場總監、資深研究員、IT項目負責人經驗。目前任職北京北信源軟件股份有限公司資深研究員，擔任《東威智庫》和《東哥安全觀》公眾號主編。

　　聲明：本文僅為傳遞更多網絡信息，不代表IT資訊網觀點和意見，僅供參考了解，更不能作為投資使用依據。