隨著遠(yuǎn)程混合辦公、自帶設(shè)備（BYOD）和基于云計(jì)算的基礎(chǔ)設(shè)施等數(shù)字企業(yè)趨勢(shì)帶動(dòng)了設(shè)備和用戶與企業(yè)網(wǎng)絡(luò)交互方式的發(fā)展，也帶動(dòng)了網(wǎng)絡(luò)安全的發(fā)展。

如今，零信任是網(wǎng)絡(luò)安全領(lǐng)域的熱門話題。零信任經(jīng)常被解讀為采用了高摩擦策略，比如持續(xù)的重新認(rèn)證提示和自動(dòng)注銷，這些都會(huì)給用戶體驗(yàn)帶來使用障礙、時(shí)間花費(fèi)和挫敗感。但利用零信任原則并不一定意味著將用戶置于一個(gè)花在嘗試訪問數(shù)字資源的時(shí)間與花在使用數(shù)字資源的時(shí)間一樣多的境地。

在這篇文章中，我們澄清了關(guān)于零信任的困惑，并探討了一個(gè)成熟的網(wǎng)絡(luò)安全團(tuán)隊(duì)如何構(gòu)建一個(gè)零信任系統(tǒng)，以確保用戶和數(shù)據(jù)的安全，并保持無縫的用戶體驗(yàn)。

什么是零信任？

在評(píng)估如何最好地利用零信任原則之前，我們需要再一次定義它。根據(jù)零信任架構(gòu)文件，零信任是一種持續(xù)驗(yàn)證的網(wǎng)絡(luò)安全框架，將“防御從基于網(wǎng)絡(luò)的靜態(tài)邊界轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源”。

零信任安全策略采用永不信任，始終驗(yàn)證的方法，在用戶和數(shù)據(jù)訪問網(wǎng)絡(luò)時(shí)持續(xù)跟蹤他們，以替代允許用戶在其設(shè)備通過身份驗(yàn)證（如信任但還未認(rèn)證）時(shí)就訪問整個(gè)網(wǎng)絡(luò)，或信任任一可以通過防火墻（如邊界安全）的設(shè)備。

零信任當(dāng)前的作用

典型的零信任策略層疊了持續(xù)身份驗(yàn)證和加密技術(shù) ，當(dāng)數(shù)據(jù)在整個(gè)網(wǎng)絡(luò)中移動(dòng)時(shí)保護(hù)數(shù)據(jù)，從而創(chuàng)建上述高摩擦環(huán)境。

多因素身份驗(yàn)證（MFA）等技術(shù)用以限制訪問和授權(quán)，而加密技術(shù)則在數(shù)據(jù)通過網(wǎng)絡(luò)之前和期間對(duì)其進(jìn)行加密。

雖然這些都是保護(hù)性的措施，但這些策略有很大的缺點(diǎn)需要考慮。

使用 MFA 、持續(xù)的重新登錄提示

和頻繁的超時(shí)來進(jìn)行持續(xù)驗(yàn)證

這些策略會(huì)對(duì)企業(yè)用戶體驗(yàn)產(chǎn)生不利影響。身份驗(yàn)證會(huì)減慢用戶的工作速度，并迫使他們讓設(shè)備始終可用。當(dāng)單個(gè)用戶使用多個(gè)設(shè)備（手機(jī)、筆記本電腦或平板電腦）時(shí)，這些摩擦?xí)杀对黾?，這在當(dāng)今的工作場(chǎng)所中越來越普遍。

最令人擔(dān)憂的是，所有這些努力都可能導(dǎo)致“身份驗(yàn)證疲勞”，用戶被要求進(jìn)行大量身份驗(yàn)證，以至于他們不再關(guān)注通知。這本身就是一個(gè)重大的安全漏洞，增加了違規(guī)的可能性。

始終加密所有內(nèi)容

這種策略冒著過時(shí)的風(fēng)險(xiǎn)過度依賴有用的安全層。正如我們所知，計(jì)算技術(shù)的進(jìn)步已經(jīng)有可能破壞或嚴(yán)重限制加密。

此外，當(dāng)您認(rèn)為加密僅只是密鑰安全時(shí)，世界立法機(jī)構(gòu)有能力通過強(qiáng)制后門進(jìn)入端到端加密系統(tǒng)的能力增加了破壞加密并開辟了攻擊途徑的可能性。這可能會(huì)使組織幾乎像加密之前一樣容易受到攻擊。

為了實(shí)現(xiàn)零信任的真正潛力，需要對(duì)這些原則進(jìn)行更全面、更廣泛和可持續(xù)的解讀。

全面零信任

其核心是有效的零信任策略可實(shí)現(xiàn)積極的用戶體驗(yàn)，同時(shí)確保高級(jí)別的安全性。使用分析與自動(dòng)化技術(shù)來監(jiān)控網(wǎng)絡(luò)中可疑行為，并對(duì)其采取措施有助于減少摩擦。

以下組件是啟用基于零信任原則的綜合安全架構(gòu)的關(guān)鍵：

為了確保強(qiáng)大的身份驗(yàn)證功能， 應(yīng)通過自動(dòng)收集用戶行為數(shù)據(jù)來持續(xù)監(jiān)控網(wǎng)絡(luò) 。這些數(shù)據(jù)構(gòu)成了可分析和處理的信息的實(shí)時(shí)基礎(chǔ)，用可操作的信息代替重復(fù)的身份驗(yàn)證請(qǐng)求。

為了建立訪問協(xié)議，網(wǎng)絡(luò)架構(gòu)師應(yīng)該構(gòu)建用戶行為分析（UBA），它可以根據(jù)數(shù)據(jù)使用多個(gè)變量作為上下文線索，并使用 AI 進(jìn)行學(xué)習(xí)，以便對(duì)可疑活動(dòng)作出更好、更快地判斷。這有助于避免系統(tǒng)設(shè)計(jì)中的繁瑣規(guī)則，并將身份驗(yàn)證請(qǐng)求定位為有針對(duì)性的訪問工具，而不是默認(rèn)設(shè)置。

通過環(huán)境中的分布式計(jì)算來實(shí)現(xiàn) UBA 的承諾，利用日志設(shè)備、網(wǎng)卡、計(jì)算節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)來加速分析功能。

為了在出現(xiàn)數(shù)據(jù)泄露時(shí)保護(hù)數(shù)據(jù)，應(yīng)構(gòu)建系統(tǒng)在整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中進(jìn)行防御，而不是專注于邊界。網(wǎng)絡(luò)架構(gòu)通常側(cè)重于防止惡意行為者離開網(wǎng)絡(luò)，但這與“邊界安全”相反。限制網(wǎng)絡(luò)內(nèi)部的橫向移動(dòng)同樣重要。

加密可以有所幫助，但需要在主要策略中納入更大的架構(gòu)網(wǎng)絡(luò)調(diào)整，以及手段改變和添加。這種方法將使更多數(shù)量級(jí)的數(shù)據(jù)需要被收集、分析和包含在自動(dòng)化安全系統(tǒng)中。

這些策略旨在根據(jù)企業(yè)的需求進(jìn)行擴(kuò)展和發(fā)展。利用現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行大規(guī)模數(shù)據(jù)收集、分析和處理的前景聽起來可能令人望而生畏。為了支持這項(xiàng)工作，NVIDIA 零信任網(wǎng)絡(luò)安全平臺(tái)結(jié)合了三種技術(shù) —— NVIDIA BlueField DPU 、NVIDIA DOCA 和 NVIDIA Morpheus 網(wǎng)絡(luò)安全 AI 框架，使得開發(fā)合作伙伴能夠?yàn)閿?shù)據(jù)中心帶來新的安全級(jí)別。

總結(jié)

NVIDIA 零信任平臺(tái)帶來了加速計(jì)算和深度學(xué)習(xí)的能力，可以持續(xù)監(jiān)控和檢測(cè)威脅，并將應(yīng)用程序與基礎(chǔ)設(shè)施隔離，以限制橫向入侵，其速度比沒有 NVIDIA 加速的服務(wù)器快 600 倍。借助這種基礎(chǔ)設(shè)施、強(qiáng)大的數(shù)據(jù)管理和人工智能技術(shù)，在下一代網(wǎng)絡(luò)安全中可以實(shí)現(xiàn)零信任的承諾。