隨著遠(yuǎn)程混合辦公、自帶設(shè)備（BYOD）和基于云計算的基礎(chǔ)設(shè)施等數(shù)字企業(yè)趨勢帶動了設(shè)備和用戶與企業(yè)網(wǎng)絡(luò)交互方式的發(fā)展，也帶動了網(wǎng)絡(luò)安全的發(fā)展。

如今，零信任是網(wǎng)絡(luò)安全領(lǐng)域的熱門話題。零信任經(jīng)常被解讀為采用了高摩擦策略，比如持續(xù)的重新認(rèn)證提示和自動注銷，這些都會給用戶體驗帶來使用障礙、時間花費和挫敗感。但利用零信任原則并不一定意味著將用戶置于一個花在嘗試訪問數(shù)字資源的時間與花在使用數(shù)字資源的時間一樣多的境地。

在這篇文章中，我們澄清了關(guān)于零信任的困惑，并探討了一個成熟的網(wǎng)絡(luò)安全團隊如何構(gòu)建一個零信任系統(tǒng)，以確保用戶和數(shù)據(jù)的安全，并保持無縫的用戶體驗。

什么是零信任？

在評估如何最好地利用零信任原則之前，我們需要再一次定義它。根據(jù)零信任架構(gòu)文件，零信任是一種持續(xù)驗證的網(wǎng)絡(luò)安全框架，將“防御從基于網(wǎng)絡(luò)的靜態(tài)邊界轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源”。

零信任安全策略采用永不信任，始終驗證的方法，在用戶和數(shù)據(jù)訪問網(wǎng)絡(luò)時持續(xù)跟蹤他們，以替代允許用戶在其設(shè)備通過身份驗證（如信任但還未認(rèn)證）時就訪問整個網(wǎng)絡(luò)，或信任任一可以通過防火墻（如邊界安全）的設(shè)備。

零信任當(dāng)前的作用

典型的零信任策略層疊了持續(xù)身份驗證和加密技術(shù) ，當(dāng)數(shù)據(jù)在整個網(wǎng)絡(luò)中移動時保護數(shù)據(jù)，從而創(chuàng)建上述高摩擦環(huán)境。

多因素身份驗證（MFA）等技術(shù)用以限制訪問和授權(quán)，而加密技術(shù)則在數(shù)據(jù)通過網(wǎng)絡(luò)之前和期間對其進行加密。

雖然這些都是保護性的措施，但這些策略有很大的缺點需要考慮。

使用 MFA 、持續(xù)的重新登錄提示

和頻繁的超時來進行持續(xù)驗證

這些策略會對企業(yè)用戶體驗產(chǎn)生不利影響。身份驗證會減慢用戶的工作速度，并迫使他們讓設(shè)備始終可用。當(dāng)單個用戶使用多個設(shè)備（手機、筆記本電腦或平板電腦）時，這些摩擦?xí)杀对黾樱@在當(dāng)今的工作場所中越來越普遍。

最令人擔(dān)憂的是，所有這些努力都可能導(dǎo)致“身份驗證疲勞”，用戶被要求進行大量身份驗證，以至于他們不再關(guān)注通知。這本身就是一個重大的安全漏洞，增加了違規(guī)的可能性。

始終加密所有內(nèi)容

這種策略冒著過時的風(fēng)險過度依賴有用的安全層。正如我們所知，計算技術(shù)的進步已經(jīng)有可能破壞或嚴(yán)重限制加密。

此外，當(dāng)您認(rèn)為加密僅只是密鑰安全時，世界立法機構(gòu)有能力通過強制后門進入端到端加密系統(tǒng)的能力增加了破壞加密并開辟了攻擊途徑的可能性。這可能會使組織幾乎像加密之前一樣容易受到攻擊。

為了實現(xiàn)零信任的真正潛力，需要對這些原則進行更全面、更廣泛和可持續(xù)的解讀。

全面零信任

其核心是有效的零信任策略可實現(xiàn)積極的用戶體驗，同時確保高級別的安全性。使用分析與自動化技術(shù)來監(jiān)控網(wǎng)絡(luò)中可疑行為，并對其采取措施有助于減少摩擦。

以下組件是啟用基于零信任原則的綜合安全架構(gòu)的關(guān)鍵：

為了確保強大的身份驗證功能， 應(yīng)通過自動收集用戶行為數(shù)據(jù)來持續(xù)監(jiān)控網(wǎng)絡(luò) 。這些數(shù)據(jù)構(gòu)成了可分析和處理的信息的實時基礎(chǔ)，用可操作的信息代替重復(fù)的身份驗證請求。

為了建立訪問協(xié)議，網(wǎng)絡(luò)架構(gòu)師應(yīng)該構(gòu)建用戶行為分析（UBA），它可以根據(jù)數(shù)據(jù)使用多個變量作為上下文線索，并使用 AI 進行學(xué)習(xí)，以便對可疑活動作出更好、更快地判斷。這有助于避免系統(tǒng)設(shè)計中的繁瑣規(guī)則，并將身份驗證請求定位為有針對性的訪問工具，而不是默認(rèn)設(shè)置。

通過環(huán)境中的分布式計算來實現(xiàn) UBA 的承諾，利用日志設(shè)備、網(wǎng)卡、計算節(jié)點和存儲節(jié)點來加速分析功能。

為了在出現(xiàn)數(shù)據(jù)泄露時保護數(shù)據(jù)，應(yīng)構(gòu)建系統(tǒng)在整個數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中進行防御，而不是專注于邊界。網(wǎng)絡(luò)架構(gòu)通常側(cè)重于防止惡意行為者離開網(wǎng)絡(luò)，但這與“邊界安全”相反。限制網(wǎng)絡(luò)內(nèi)部的橫向移動同樣重要。

加密可以有所幫助，但需要在主要策略中納入更大的架構(gòu)網(wǎng)絡(luò)調(diào)整，以及手段改變和添加。這種方法將使更多數(shù)量級的數(shù)據(jù)需要被收集、分析和包含在自動化安全系統(tǒng)中。

這些策略旨在根據(jù)企業(yè)的需求進行擴展和發(fā)展。利用現(xiàn)有基礎(chǔ)設(shè)施進行大規(guī)模數(shù)據(jù)收集、分析和處理的前景聽起來可能令人望而生畏。為了支持這項工作，NVIDIA 零信任網(wǎng)絡(luò)安全平臺結(jié)合了三種技術(shù) —— NVIDIA BlueField DPU 、NVIDIA DOCA 和 NVIDIA Morpheus 網(wǎng)絡(luò)安全 AI 框架，使得開發(fā)合作伙伴能夠為數(shù)據(jù)中心帶來新的安全級別。

總結(jié)

NVIDIA 零信任平臺帶來了加速計算和深度學(xué)習(xí)的能力，可以持續(xù)監(jiān)控和檢測威脅，并將應(yīng)用程序與基礎(chǔ)設(shè)施隔離，以限制橫向入侵，其速度比沒有 NVIDIA 加速的服務(wù)器快 600 倍。借助這種基礎(chǔ)設(shè)施、強大的數(shù)據(jù)管理和人工智能技術(shù)，在下一代網(wǎng)絡(luò)安全中可以實現(xiàn)零信任的承諾。