零信任(ZT)是一种心态和方法,而不是一种技术。当前采用ZT的推动是由急需和日益增长的需求驱动的,该急需在企业网络中的风险管理和攻击遏制方面取得了重大飞跃,这是每一个连续的勒索软件浪潮所驱动的需求。它可以利用转移到ZT的紧迫性来扎根环境中的一些技术债务。具体而言,它可以是催化剂,找到免于网络和网络安全标准的区域,并在零信任的新范式下使它们保持最新状态。
不再豁免网络组件访问控制角色
在ZT环境中,该网络不仅不信任新的节点,而且还不信任已经在其跨越它的节点。当ZT网络首先看到节点时,该网络将要求该节点经过某种形式的身份验证和授权检查。它有证明其身份的有效证书吗?是否允许将其基于该身份的位置连接?它是否运行有效的软件版本,防御工具等?必须在允许整个网络通信之前清楚地清楚这一障碍。
此外,ZT网络不假定信任关系是永久或上下文的:一旦网络在网络上,就必须对其尝试的每个网络操作进行身份验证并授权节点。毕竟,它可能在一次操作和下一次操作之间被妥协,或者可能已经开始异常采取行动,并在上一刻被剥夺了其授权,或者该机器上的用户可能已经发射。
这是网络专业人员如何考虑网络服务的根本性变化。确实,许多网络团队最近才对基于基本的录取控制感到非常满意802.1x,网络充满了端口,开关,段和子网,甚至无法强制执行基本的入学控制水平。In many cases, the port/segment/subnet/whatever has been exempted because systems connecting through it—or even the underlying hardware itself—cannot handle the security protocols, or because the folks running that part of the network don’t see a need for that level of security or want to adopt it, or the administrative overhead of implementing and running the system is considered too high.