行业新闻与博客

Gartner 副总裁兼杰出分析师尼尔·麦克唐纳（Neil MacDonald）表示，对网络安全零信任的概念是一个误解。MacDonald 在 Gartner 安全与风险虚拟峰会上发表讲话时指出，实际上，扩大信任对于组织有效工作是必要的。

主要问题是对基于使用物理位置以及所有权和控制权的现有安全实践的“隐式信任”过多。这在现代数字业务中效果不佳，在现代数字业务中，在多个位置使用多个设备。相反，“我们的目标是用基于风险的持续评估的显式信任级别替换该隐式信任，” MacDonald 解释说。

最终，零信任正在从传统的基于外围的模型（由物理位置定义信任）转变为基于各种因素（包括身份，位置，用户行为和所处理数据的敏感性）决定显式信任的模型。

MacDonald 说，要使组织成功地采用这种方法，首先应将重点放在零信任网络上。这是因为 TCP / IP 网络是在可以信任的时候建立的，但是情况已经发生了很大变化。他说：“ IP 地址充其量是弱标识符，很容易被欺骗。” 这意味着需要首先在授予连接之前而不是之后进行身份验证。

因此，从外部授予访问权限的旧版 VPN 不适合特定目的，因此必须逐步淘汰。麦克唐纳评论说：“我们想采用一种思维方式，认为网络的位置无关紧要，网络始终不受信任。始终假设它已遭到破坏，所有内容都需要加密。”

然后从允许访问的那一刻起，必须对用户的行为进行连续监视。

下一步是在组织内部数据中心内应用这些零信任原则。“问题在于大多数数据中心网络都是平坦的–当坏人进入时，它们横向移动不受阻碍，” MacDonald 解释说。“我们需要的是为违规而建立的数据中心。”

在这种方法中，类似于潜艇如何保护自己免受漏水的影响，应该在一个区域内包含漏洞，这是一种基于身份的分段方法。这可能包括将最终用户从数据中心网络中删除，或将重要应用程序（如 SAP 应用程序）围起来。

他继续概述了可以应用此零信任原则的其他领域，以便组织可以更有效地保护自己免受网络犯罪的侵害，其中包括从最终用户系统中删除管理员权限，对关键服务器实施默认拒绝，对所有服务器进行加密默认情况下提供数据，并为所有管理员实施多重身份验证（MFA）。

麦克唐纳表示，不断向云计算的转变可以推动随着时间的推移引入此类举措。他补充说：“您不能拨动电灯开关并达到零信任，但是我们可以务实地采取这些步骤。”

本文由机器译制