我来概括一下,内容都来自报告《2022混合办公安全白皮书:以万全应万变,从持续验证到持续保护》,如果想要更多了解的话,可以前往原报告查看。
传统的企业安全架构是基于企业网络 边界作为信任分界线,企业内网访问默认 受信的。虽然在互联网边界部署了防火墙、 WAF、入侵检测等设备以构建安全护城河。 一旦攻击者获得对网络的访问权,就可以自 由访问甚至控制内部的一切。与此同时,当 前很多企业将数据分布在不同云供应商之 间,这使得对整个网络进行单一安全控制变 得更加困难,加剧了城堡和护城河安全系统 中的漏洞。随着混合办公的兴起,企业过去 定义的边界逐渐失效,而“零信任”,作为 新理念,应运而生。
零信任的本质是一种安全理念,“持续验证,永不信任”是其基本观点,其核心在 于保护关键数据或者业务流程。零信任假定网络边界内外的任何访问主体(人 / 设备 / 应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任, 其本质是以身份为中心进行访问控制。零信任架构则是一种企业网络安全的规划,它基 于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
零信任的理念,非常适合当今网络边界 模糊的时代,尤其是在混合办公模式兴起的 背景下,企业中人、设备、应用所面临的安 全风险都大大提升。零信任理念在企业安全 领域拥有巨大潜力,这样的潜力也已经得到 了人们的认可。在调研中,65.8% 的受访 者认为,未来零信任会在企业安全领域起到 更大的作用。
除了认知上的认可,在行动上,零信任已经被许多企业积极拥抱,正成为保障混合 办公安全的核心武器。在了解零信任概念的受访者中,22.7% 的受访者所在企业零信任 产品已经到位。40.2% 的受访者所在企业零信任项目正在进行中。22.3% 的受访者所 在企业零信任项目已经计划好。可以看出,许多企业已经在使用或者计划使用零信任来 保障企业安全。
效率、安全与合规是企业对零信任的核心期待。零信任对于企业和员工来说,最大 的价值点在于其能够同时实现效率、安全与合规,这也是企业梦寐以求的公司运营“黄 金三角”。这样的期待同样体现在了我们的调研中。当在被问到,“你的公司决定是否 启动零信任安全管理程序的关键驱动因素有哪些?”时,排名最高的五项分别是:加强 安全 / 数据保护(50.7%)、提升业务效率(45.5%)、减少端点和物联网安全威胁(39.1%)、 提升对安全事件的响应(36%)、符合行业 / 监管合规(28.1%)。这其中,第一名、 第三名、第四名为安全相关;第二名为效率相关;第五名为监管相关。
