特洛伊木马的故事是一个永恒的教训,希腊人制定木马计划让他们获得了特洛伊人的信任,从内部攻入了特洛伊城。如果说这种信任在几千年前挫败了特洛伊人的话,不幸的是,当今许多网络的安全状况与这个故事非常相似。
传统上,数据中心安全性是围绕防火墙和其他基于周边设备的防御而建立的,这些防御措施专注于防御危险的外部力量。但是,当具有正确凭据的用户进入外围防御体系时,该体系结构隐含着对他们的信任,而一旦进入,就很难阻止用户的不良行为。因此,真正保护数据和工作负载好的方法是采用一种不信任的模型。这种零信任安全架构正在改变数据中心的游戏规则。通过了解其一些主要优势,人们可以更好地保护最关键的组织资产。
删除假设
如今,数据中心的安全性充满了假设。假设如果有人拥有访问网络的凭据,那么网络应该信任该用户。但是当这些凭据被盗时会发生什么?在这种情况下,这种假设就会打开潘多拉的盒子,随着威胁的不断发展和多租户环境变得越来越复杂,安全环境实际上变得越来越糟。
因此,人们必须完全从安全思维中删除假设。在零信任模型中,基于每个租户、每个应用程序或每个工作负载分配访问权限。为此,即使用户的凭据被盗,他们也无法自由访问网络的所有部分,而只能看到为他们定义的那些资源。此外,在零信任模型中,人们不断评估用户的数字身份,因此如果识别出异常行为,系统可以快速移动以改变访问或减轻潜在问题。
提高数据中心的灵活性
数据中心是一个极其复杂的网络,其工作负载在许多不同的环境(私有云、公共云、混合云),并且每个租户都可以访问资源。这种复杂性使得简单的外围防御能够从投资和实施的角度让网络管理员更加关注。然而,正是这种简单性使数据中心面临危险,并使其在资源配置方面保持僵化。
零信任模型的一个附带好处是它为网络管理员提供的灵活性。由于可以基于每个租户、每个应用程序和/或每个工作负载分配访问权限,因此人们可以更好地了解系统资源的使用方式。人们可以根据所定义的各个访问规则分配所需的资源,而不必将所有用户的资源用于整个网络。事实上,某些访问甚至不需要网络规定,可以定义为点对点,从而释放更多宝贵的网络资源。
防火墙的消亡
实际上,零信任安全模型需要非常精细的精度级别,其中每个端点、物联网设备、用户等都使用自己的访问控制进行定义。在很长一段时间内,这种复杂性使得零信任安全更像是一个梦想而不是现实,因为没有什么能够协调这种复杂性。更不用说没有人可以删除防火墙并在真空中运行。然而,随着人工智能和机器学习的进步,现在可以在软件级别协调零信任网络。人工智能能够根据具体情况检查行为,并立即对任何异常行为进行标记或采取行动。这最终意味着,随着零信任在当前防火墙之后被广泛实施,数据中心管理人员将意识到防火墙是多余的,因此它将不复存在。
确实,最后的转变可能还需要几年时间,但现在通过实施零信任系统和政策,数据中心可以开始实现安全性和灵活性的好处,同时为不可避免的模式转变做好准备。更不用说这些数据中心将受到更好的保护,免受当今越来越普遍的代价高昂且日益加强的网络攻击。这种转变需要持续的投资,不会在一夜之间完成,但所获得的好处将是长期和深远的。
热门专题
