零信任安全策略是一种现代化的安全方案,解决传统安全“边界”失效的问题。目前,软件即服务(SaaS)和云环境已成为业务标准,网络边界安全方案逐渐失效。另一方面,零信任正成为大中小微企业不可或缺的解决方案。安全风险可能更常见于大型企业,但中小企业同样需要部署零信任,零信任也的确能为中小企业带来许多好处。
虽然实施过程较长,但未完全部署的零信任环境同样可以帮助中小企业提升安全性和其他方面的优势。本文将深入解析中小企业实施零信任的优势,其中就包括在现代办公环境中保障中小企业的安全。
安全是每个企业都关心的问题
在当今时代,如果还认为只有大型企业需要担心安全性问题未免过于天真。事实上,无论在小型企业还是大型企业,网络犯罪都遵循相似的模式,犯罪率也在不断上升。2020年网络犯罪案件数量飙升,原因就在于脆弱的远程环境给不法分子提供了可乘之机。如今,由于存在于企业远程和混合环境基础设施中的漏洞继续被不法分子利用,导致网络犯罪率也持续攀升。
现在,中小企业平均有30%的员工在远程办公,32.5%的员工采取远程+线下的混合办公模式,说明企业的安全策略需要同时支持远程和混合办公模式。
而中小企业的 IT 人员将“增加安全分层保障远程办公安全”列为2021年和2022年的首要任务,其中80%以上认为远程办公和混合办公模式的出现让 IT 部门更加重视安全问题。中小企业需要安全策略来确保远程环境安全,而传统的网络边界则显得有心无力。
为什么传统网络边界难以满足现代企业的安全需求?
传统的网络边界安全策略无法应对现代网络环境的原因主要有两方面:首先,它试图将物理边界的概念应用于无边界的虚拟环境,而云环境则不必保护需要本地部署的中央基础设施,所以边界的概念也变得无关紧要。
其次,网络边界将所有保护措施都集中在初始访问(即边界)中,并且由于完全信任这些保护措施而假定边界内的任何用户都是可信的。事实证明上述模型过于理想而不切实际。今天,网络不法分子的攻击活动迅猛而复杂,安全专家也表示网络攻击对企业而言不可避免,只是时间早晚而已。
零信任如何提升企业网络安全?
零信任安全策略的出现就是为了弥补网络边界安全策略的缺点,保护现代云环境。
首先,零信任规定了所有阶段都需要身份验证,并且用多因素认证(MFA)取代简单的密码登录,加强了访问安全。其次,零信任要求根据最小权限(PLP)原则对每次访问都进行身份验证,不仅仅是在“边界”,目的是及时提高登录安全,防止漏洞产生后的横向移动。此外,零信任策略和支持零信任的解决方案通常能在基于云的环境中提供更好的可见性和管控,改进威胁检测从而减少威胁。
总体而言,零信任安全策略为中小企业抵御网络犯罪提供了良好的防御措施,并为长期的远程办公和混合办公提供了可持续的安全基础,其主要优势有以下几点:
1)前瞻性
遗留设备往往难以更改,物理设备的任何改动都费时费钱,难以实施。相比之下,零信任安全策略比传统的网络边界安全策略具有更好的延展性和适应性,因此更能应对未来的变化。
适应变化的能力对于中小企业来说非常重要,因为中小企业自身就需要迅速适应频繁的企业转型和市场变化。
2)可用性
零信任安全策略最初就是为了云资源而设,目前来看这些资源比传统资源更容易使用。因此,零信任的实施往往也基于云,而且更人性化,其中就包括优化员工体验,用户不必再记住和输入密码,入离职流程自动化也能减轻负担。零信任环境通过集成、自动化和单一数据源提供一致、直观、无缝的用户体验。
用户的支持是实施零信任的关键,而员工体验也成为企业的竞争力之一。优化用户体验有助于中小企业提升员工对零信任的支持和满意度。
3)更好的管理体验
除了优化用户体验外,零信任也改善了管理员体验。零信任规定了软件驱动架构,提高可视性的同时简化了安全管理(尤其是在混合和远程环境中),帮助减轻管理员负担,并提高了漏洞出现前的检测和应对能力。
简化管理体验在提升安全的同时也为企业的顺利转型、规模化和 IT 维护提供了环境。IT 部门人力紧张的中小型企业这部分节省的时间可以在不牺牲安全性的前提下重新分配给其他重要的 IT 项目。这也是获得 IT 部门支持的一大原因,IT 部门的支持和用户支持对于落实零信任一样重要。
揭开零信任的神秘面纱
近年来,零信任越来越受企业欢迎,成为保护现代远程办公环境必不可少的安全策略。但零信任在市场上的盛行也导致企业对这一概念的误用和误解,很多企业并不清楚零信任包含什么、不包含什么。这种概念的混淆可能会阻碍零信任的部署,尤其是 IT 部门规模较小且预算有限的中小企业。