多云环境中的连接零信任实施用户指南

网络弹性将业务连续性规划、网络安全和运营弹性融为一体。目标是即使发生最坏情况（毁灭性的网络攻击或其他灾难），也能维持运营，几乎不会停机。
在当今世界，网络弹性应是每个组织的北极星目标之一。在全球范围内，网络犯罪现在每年给受害者造成的损失超过 11 万亿美元，预计到 20 年底，这一数字将超过 2026.1 万亿美元。2020.2 与数据泄露、勒索软件和勒索攻击相关的费用持续增加，自 XNUMX 年以来平均每年增长超过 XNUMX%。XNUMX 但这些成本并非由所有受害者平均承担。一些组织（例如医疗保健等受到严格监管的行业）的平均违规相关费用较高，而其他组织（例如拥有成熟的安全运营计划并利用自动化和人工智能的组织）的成本往往较低。
随着威胁行为者能力的提升，遭受毁灭性损失的网络犯罪受害者与仅受到轻微影响的网络犯罪受害者之间的差距将越来越大。生成式人工智能等新兴技术使攻击者能够以越来越大的规模发起不太复杂的攻击（如网络钓鱼）。创建高度定制的商业电子邮件入侵 (BEC) 和社会工程攻击也变得越来越容易amp标志。
为了保护收入和声誉并确保能够保留客户的信任，各行各业各种规模的组织都必须摆脱过去的网络防御思维和实施方式。
这正是零信任所要解决的问题。

11万亿美元
全球网络犯罪每年造成的损失1

增长 58%
2022 年至 20233 年网络钓鱼攻击

增长 108%
同期商业电子邮件攻击 (BEC) 数量4

Statista，2018-2029 年全球网络犯罪成本估计，2024 年 XNUMX 月。

IBM，2023 年数据泄露成本报告。
Zscaler，2024 年 ThreatLabz 网络钓鱼报告

安全异常，1 年上半年电子邮件威胁报告

零信任：保护现代技术生态系统的新愿景

随着越来越多的组织将其 IT 基础架构的关键部分迁移到云中，采用适合当今技术环境的网络安全策略至关重要。这些环境通常复杂、分散且无边界。从这个意义上讲，它们与传统安全方法旨在保护的本地网络（服务器和台式计算机受边界防火墙保护）截然不同。

零信任就是为了填补这一空白而发明的。零信任旨在消除用户默认自动受信任时（例如当他们处于传统网络边界内时）产生的漏洞，非常适合现代 IT 环境，在这种环境中，各种位置的用户都在不断访问公司网络内外的数据和服务。
但了解采用零信任需要什么并不总是那么简单。弄清楚如何提高组织的零信任成熟度也并非易事。选择正确的技术来实施需要仔细研究众多相互竞争的供应商主张，甚至在做到这一点之前，您就必须找到正确的策略。

为了方便您，我们整理了这份实用指南。其中，您将找到一个五步计划，帮助您的组织加快实现零信任的进程。

什么是零信任

零信任是一种网络安全策略，其核心原则是“永不信任，始终验证”。随着行业专家观察到越来越多的网络攻击成功突破网络边界，该术语开始成为主流。在 2000 世纪初期，大多数企业网络都有一个内部“信任区”，由防火墙保护，这种模式被称为网络安全的城堡和护城河方法。
随着 IT 环境和威胁形势的演变，越来越明显的是，该模型的几乎每个方面都是有缺陷的。

网络边界根本无法以 100% 安全的方式得到保护。
坚决的攻击者总是能够找到漏洞或空隙。
每当攻击者能够访问“受信任区域”时，他们就很容易窃取数据，部署勒索软件或造成其他伤害，因为没有什么可以阻止进一步的行动。

随着组织越来越多地采用云计算并允许其员工远程工作，网络概念与其安全态势的相关性越来越小。
零信任是为了解决这些挑战而创建的，它提供了一种保护数据和资源的新模型，该模型基于在允许用户/设备连接到任何服务或资源之前持续验证是否应授予其访问权限。

零信任正在成为跨行业标准

零信任已被许多不同垂直行业的组织广泛采用。根据最近的一项调查，近 70% 的技术领导者正在其企业内实施零信任政策。5 公共部门也做出了深远的努力来采用零信任。例如，2021 年《关于改善国家网络安全的行政命令》呼吁联邦政府和关键基础设施部门的组织提高其零信任成熟度。6 美国国家标准与技术研究所 (NIST) 和网络安全与基础设施安全局 (CISA) 都发布了零信任的详细定义，以及如何实现零信任的广泛指导。

零信任：官方定义

美国国家标准与技术研究院 (NIST)：
零信任 (ZT) 是指一套不断发展的网络安全范式，它将防御从静态的、基于网络的边界转移到用户、资产和资源上。零信任架构 (ZTA) 使用零信任原则
规划工业和企业基础设施和工作流程。零信任假设不存在仅基于资产或用户账户的物理或网络位置（即局域网与互联网）或基于资产所有权（企业或个人所有）而授予的隐式信任。身份验证和授权（主体和设备）是在与企业资源建立会话之前执行的独立功能。零信任是对企业网络趋势的回应，包括远程用户、自带设备 (BYOD) 和不在企业拥有的网络边界内的基于云的资产。零信任专注于保护资源（资产、服务、工作流程、网络账户等），而不是网络段，因为网络位置不再被视为资源安全态势的主要组成部分。7

网络安全和基础设施安全局（CISA）：
零信任提供了一系列概念和想法，旨在最大限度地减少在网络环境中信息系统和服务中执行准确、最小权限的访问决策时的不确定性 viewed 被视为已受到损害。零信任架构 (ZTA) 是企业的网络安全计划，它使用零信任概念，并包含组件关系、工作流规划和访问策略。因此，零信任企业是企业作为 ZTA 计划的产物而制定的网络基础设施（物理和虚拟）和运营政策。8

在零信任之旅中取得进展

零信任被广泛接受为组织应努力实现的安全标准。正如上述定义所表明的那样，它也是一个复杂的概念。
大多数已建立安全计划的组织都已经实施了至少一些旨在保护其内部企业网络的控制措施（例如物理防火墙）。对于这些组织而言，挑战在于逐渐摆脱传统模式（以及伴随而来的思维方式）转向零信任采用 - 同时保持在预算范围内，并继续提高可见性、控制力和应对威胁的能力。
这可能并不容易，但只要采取正确的策略，这很有可能实现。

步骤 1：首先了解零信任框架。

NIST 对零信任的定义是将其描述为一种架构，即一种基于零信任原则规划和实施企业安全基础设施和工作流程的方法。重点是保护单个资源，而不是网络或网络的部分（段）。
NIST SP 800-207 还包括采用零信任的路线图。该出版物描述了创建零信任架构 (ZTA) 所需的构建块。这里可以使用不同的工具、解决方案和/或流程，只要它们在架构设计中发挥正确的作用即可。
从 NIST 的角度来看，零信任的目标是防止未经授权的资源访问，同时使访问控制实施尽可能细粒度。

有两个重点关注领域：

决定哪些用户或流量可以访问资源的机制
执行这些访问决定的机制

有多种方法可以实现零信任架构。其中包括：

基于身份治理的方法
基于微分段的方法，其中单个资源或小组资源被隔离在受网关安全解决方案保护的网络段上
基于软件定义边界的方法，其中软件定义广域网 (SD-WAN)、安全访问服务边缘 (SASE) 或安全服务边缘 (SSE) 等网络解决方案配置整个网络，以根据 ZT 原则限制对资源的访问
CISA 的零信任成熟度模型基于类似的概念。它强调实施细粒度的安全控制，以管理用户对系统、应用程序、数据和资产的访问，并在考虑用户身份、上下文和数据访问需求的同时构建这些控制。
这种方法很复杂。据 CISA 称，实现零信任是一个渐进的过程，可能需要数年时间才能实现。
CISA 的模型包括五大支柱。每个领域都可以取得进展，以支持组织向零信任迈进。

零信任代表着从以位置为中心的模型向以身份、上下文和数据为中心的方法的转变，在用户、系统、应用程序、数据和资产之间实现随时间而变化的细粒度的安全控制。
—CISA，零信任成熟度模型，版本 2.0

零信任成熟度模型的五大支柱

第 2 步：了解走向成熟的意义。
CISA 的零信任成熟度模型描述了四个tag走向成熟的过程：传统、初始、高级和最佳。
五大支柱（身份、设备、网络、应用程序和工作负载以及数据）都有可能逐渐成熟。这通常涉及增加自动化、通过收集用于分析的数据来提高可见性以及改善治理。

提高零信任成熟度

比方说，例如ample，您的组织正在 AWS 上运行云原生应用程序。

在“身份”支柱内取得进展可能包括从手动配置和取消配置此应用程序的访问权限（传统）转变为开始自动化身份相关策略实施（初始）。为了进一步提高零信任成熟度，您可以应用自动化生命周期管理控制，这些控制在此应用程序和您正在运行的其他许多应用程序中保持一致（高级）。优化零信任成熟度可能包括完全自动化即时身份生命周期管理、添加动态策略实施和自动报告，以及收集遥测数据，以便全面了解此应用程序和您环境中的所有其他应用程序。
您的组织越成熟，您就越能够将五大支柱中的事件关联起来。这样，安全团队就可以了解它们在整个攻击生命周期中是如何关联的——攻击可能始于单个设备上的身份被盗，然后通过网络移动到 AWS 上运行的云原生应用程序中的敏感数据。

零信任路线图

步骤 3：确定最适合您个人组织的零信任采用或迁移策略。

除非您从头开始构建新架构，否则逐步工作通常是最明智的做法。这意味着逐个实施零信任架构组件，同时继续在基于边界/零信任的混合环境中运行。通过这种方法，您将在正在进行的现代化计划中取得逐步进展。

采用渐进方式的步骤：

首先确定网络和业务风险最大的领域。首先在这里做出改变，以保护您最有价值的数据资产，然后再按顺序继续。
仔细检查组织内的所有资产、用户、工作流程和数据交换。这将使您能够映射需要保护的资源。一旦您了解人们如何使用这些资源，您就可以制定保护它们所需的政策。
根据业务风险和机会对项目进行优先排序。哪个会对您的整体安全状况产生最大影响？哪个最容易快速完成？哪个对最终用户的干扰最小？提出这些问题将使您的团队能够做出战略决策。

步骤 4：评估技术解决方案，确定哪些解决方案最适合您的业务流程和当前 IT 生态系统。
这需要反省以及对市场情况的分析。

需要询问的问题包括：

我们公司允许使用员工自有设备吗？如果允许，该解决方案是否与您现有的自带设备 (BYOD) 政策兼容？

此解决方案是否适用于公有云或我们已构建基础架构的云？它是否也可以控制对 SaaS 应用的访问（如果我们正在使用它们）？它是否也可以用于本地资产（如果我们拥有它们）？
该解决方案是否支持日志收集？它是否与我们用于访问决策的平台或解决方案集成？
该解决方案是否支持我们环境中使用的所有应用程序、服务和协议？

该解决方案是否适合我们员工的工作方式？实施前是否需要额外的培训？

步骤5：实施初始部署并监控其性能。

一旦您对项目的成功感到满意，您就可以在此基础上采取下一步措施，实现零信任成熟度。

多云环境中的零信任

从设计上讲，零信任旨在用于现代 IT 生态系统，这些生态系统几乎总是包含来自一个或多个云提供商的组件。零信任非常适合多云环境。话虽如此，在不同类型的设备、用户和位置之间构建和实施一致的策略可能具有挑战性，而依赖多个云提供商会增加环境的复杂性和多样性。
根据垂直行业、业务目标和合规性要求，您个人组织的策略将与其他组织的策略不同。在选择解决方案和制定实施策略时，考虑这些差异非常重要。
构建强大的多云身份架构非常重要。个人用户的设备需要能够连接到您的内部网络、云资源以及（在许多情况下）其他远程资产。SASE、SSE 或 SD-WAN 等解决方案可以实现这种连接，同时支持细粒度的策略实施。专为实施零信任而构建的多云网络访问控制 (NAC) 解决方案即使在非常多样化的环境中也可以实现智能身份验证决策。

不要忘记云供应商提供的解决方案。
AWS、Microsoft 和 Google 等公共云提供商提供原生工具，可用于分析、改进和维护您的云安全状况。在许多情况下，利用这些解决方案具有良好的商业意义。它们既经济高效又功能强大。

与值得信赖的合作伙伴合作的价值

实施零信任时必须做出的许多架构设计决策都很复杂。合适的技术合作伙伴将精通当今市场上的所有技术产品、服务和解决方案，因此他们会敏锐地意识到哪些产品、服务和解决方案最适合您的业务。

专家提示：

寻找精通跨多个公共云和平台集成的合作伙伴。
在多云环境中，成本控制可能是一个问题：使用供应商提供的解决方案可能成本较低，但可能更难在不同平台或基础设施之间保持一致的控制。找出最佳策略可能需要成本效益分析以及对 IT 环境的深入了解。

合适的合作伙伴可以帮助您做出这一决策。他们应该与多家安全解决方案供应商建立广泛的合作伙伴关系，这样他们就能帮助您看清各个供应商的说法，发现哪些解决方案真正最适合您的需求。他们也可能能够确保优势tag他们会同时与多个供应商合作，为您进行定价。
寻找一家能够在必要时提供一次性咨询服务的供应商，同时该供应商还具备长期提供托管服务的专业知识。这样，您就可以确信自己不会遇到过多的管理负担，并且能够从所选的工具和解决方案中获得全部价值。

满足连接

为了保护组织免受日益增加的网络风险，实施零信任架构至关重要。但它也很复杂。从理解零信任框架到选择技术，
制定实施策略、提升零信任成熟度可能是一个涉及许多活动部分的长期项目。

携手合适的服务和解决方案，可以更轻松、更经济地实现零信任。从长远来看，您的团队可以确信，您正在缓解企业面临的一些最大（也可能是最昂贵的）风险。
Connection 是一家财富 1000 强公司，通过为客户提供行业领先的技术解决方案来促进增长、提高生产力和推动创新，从而消除 IT 方面的困惑。专注于提供卓越服务的专职专家可根据客户的独特需求定制产品。Connection 提供跨多个技术领域的专业知识，为 174 多个国家的客户提供解决方案。
我们与微软、AWS、惠普、英特尔、思科、戴尔和 VMware 等公司建立了战略合作伙伴关系，使我们的客户能够轻松找到提升零信任成熟度所需的解决方案。

连接如何提供帮助

Connection 是您在实施零信任方面的合作伙伴。从硬件和软件到咨询和定制解决方案，我们在零信任和多云环境成功的关键领域处于领先地位。

探索我们的资源
现代基础设施
网络安全服务

立即联系我们的 Connection 专家：

联系我们
1.800.998.0067

与合作伙伴关系

通过我们与客户建立的长期关系以及在思科技术方面的专业知识，我们一直在改进与思科开展业务的方式。我们广泛的思科知识和咨询服务可以增强您的竞争优势、帮助提高产量和提高效率。Connection 与思科一起，可以指导您在数字时代实现业务转型。

作为 Microsoft 解决方案合作伙伴，Connection 提供产品、技术专业知识、服务和解决方案，帮助您的企业适应不断变化的技术环境。我们通过交付和部署 Microsoft 硬件、软件和云解决方案来推动贵组织的创新 — 利用我们广泛的知识和经过验证的能力，确保您从 Microsoft 投资中获得最大收益。