购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.4 对零信任的几个误解

“零信任”是一个可以引起人强烈兴趣的词,也是一个容易产生误解的词。正因如此,不少人对零信任架构的认识不准确。错误的预期可能导致项目建设的失败,所以这里有必要澄清几个对零信任的误解。

(1)零信任架构不是完全摒弃已有技术另起炉灶。 零信任架构中的许多概念和想法已经存在和发展了很长时间,可以说零信任架构是这些网络安全思想的演进。

(2)零信任不仅是一种思路,更是一系列技术的合集。 很多人会望文生义,认为零信任就是什么都不信任。其实,在行业内提到零信任时一般更多指SDP架构、微隔离、AI信任评估、终端沙箱、新一代IAM等伴随零信任而出现的新技术。

(3)零信任架构不是抛弃传统的安全边界。 零信任架构不再将网络因素作为绝对的判断标准,只是将其作为考虑的因素之一。将网络与身份、设备等环境信息结合,进行综合评估,依据结果进行访问控制。

(4)零信任架构不是没有边界。 有人说零信任是“无边界”,实际上零信任架构只是没有明显的物理边界,而是部署动态的、虚拟的软件边界。

(5)零信任架构与传统的安全产品之间不是泾渭分明的。 有观点认为零信任架构只负责基于身份的安全访问,对于其他攻击的防护只能依赖传统的安全产品。实际上,零信任架构是近年来少见的整体安全架构。从Forrester到NIST,都是从零信任的角度对网络和安全进行整体重构的,其中包含了对传统安全措施的整合和改造。笔者甚至认为未来一切安全产品都会装一个零信任的“内核”。

(6)零信任并不代表零风险。 实际上,任何产品的风险都不可能被完全消除。零信任的理念是通过整体架构,层层打造纵深防御系统,逐级降低攻击的成功率,减少安全事故造成的损失。 ftbByF4WTIpUsus3k1DwXgisSg41rdT7RfABM/t8Dv7eGbswE91WgMIVJk76/OHq

点击中间区域
呼出菜单
上一章
目录
下一章
×