零信任网络安全

随着数字化转型的发生，网络边界也在不断被重新定义，因此，组织必须使用新的安全方法重新定义其防御策略。

零信任是一种基于“永不信任，永远验证”原则的安全方法，它强调无论在公司内部或外部，任何用户、设备或网络都不能从本质上被信任。

零信任模型

零信任模型旨在通过帮助组织采取全面的方法来实现强大的网络安全态势，从而加强和保护组织，当组织根据其基础设施的需求遵循不同的技术和策略，而不仅仅是一个独立的策略时，就可以实现这一点。以下是一些零信任准则：

• 微分段
• 多因素身份验证
• 单点登录（SSO）
• 最小特权原则
• 持续监控和审核用户活动
• 监控设备

微分段

微分割是零信任模型中最重要的方面之一，它是将网络边界分解为更易于管理的小型安全区域的过程，这些区域被称为微段。与大型网络相比，微分段更容易监控、实现特定的安全策略以及建立精细的访问和控制，这反过来又提供了对单个网络资源、应用程序和数据的更好的可见性和访问。

微分段可确保攻击面尽可能小，通过这种方式，它减少了组织成为网络攻击牺牲品的机会，它防止流量在网络内横向移动，即服务器到服务器、应用程序到服务器等。组织可以通过多种方式创建微细分，例如，组织可以根据位置、特权数据资产、用户身份（员工或第三方用户）、个人身份信息、虚拟机、重要应用程序、软件等创建它们。

多因素身份验证

通过多重身份验证（MFA）等安全方法，为所有用户和网络资源提供经过身份验证和授权的访问。MFA要求用户使用多种身份验证因素来证明和验证自己的身份，例如通常的用户名密码组合、指纹扫描以及发送到移动设备的代码或一次性密码（OTP）。与双因素身份验证不同，MFA应至少包含三个用于对用户进行身份验证的因素，这三个因素可以是用户知道的东西（密码），用户拥有的东西（身份验证应用程序上的OTP），以及用户本身的东西（指纹等生物识别技术）。

然而，对于组织来说，考虑网络威胁可以绕过 MFA 这