隨著遠程混合辦公、自帶設備（BYOD）和基于云計算的基礎設施等數(shù)字企業(yè)趨勢帶動了設備和用戶與企業(yè)網(wǎng)絡交互方式的發(fā)展，也帶動了網(wǎng)絡安全的發(fā)展。

如今，零信任是網(wǎng)絡安全領域的熱門話題。零信任經(jīng)常被解讀為采用了高摩擦策略，比如持續(xù)的重新認證提示和自動注銷，這些都會給用戶體驗帶來使用障礙、時間花費和挫敗感。但利用零信任原則并不一定意味著將用戶置于一個花在嘗試訪問數(shù)字資源的時間與花在使用數(shù)字資源的時間一樣多的境地。

在這篇文章中，我們澄清了關于零信任的困惑，并探討了一個成熟的網(wǎng)絡安全團隊如何構建一個零信任系統(tǒng)，以確保用戶和數(shù)據(jù)的安全，并保持無縫的用戶體驗。

什么是零信任？

在評估如何最好地利用零信任原則之前，我們需要再一次定義它。根據(jù)零信任架構文件，零信任是一種持續(xù)驗證的網(wǎng)絡安全框架，將“防御從基于網(wǎng)絡的靜態(tài)邊界轉移到關注用戶、資產和資源”。

零信任安全策略采用永不信任，始終驗證的方法，在用戶和數(shù)據(jù)訪問網(wǎng)絡時持續(xù)跟蹤他們，以替代允許用戶在其設備通過身份驗證（如信任但還未認證）時就訪問整個網(wǎng)絡，或信任任一可以通過防火墻（如邊界安全）的設備。

零信任當前的作用

典型的零信任策略層疊了持續(xù)身份驗證和加密技術 ，當數(shù)據(jù)在整個網(wǎng)絡中移動時保護數(shù)據(jù)，從而創(chuàng)建上述高摩擦環(huán)境。

多因素身份驗證（MFA）等技術用以限制訪問和授權，而加密技術則在數(shù)據(jù)通過網(wǎng)絡之前和期間對其進行加密。

雖然這些都是保護性的措施，但這些策略有很大的缺點需要考慮。

使用 MFA 、持續(xù)的重新登錄提示

和頻繁的超時來進行持續(xù)驗證

這些策略會對企業(yè)用戶體驗產生不利影響。身份驗證會減慢用戶的工作速度，并迫使他們讓設備始終可用。當單個用戶使用多個設備（手機、筆記本電腦或平板電腦）時，這些摩擦會成倍增加，這在當今的工作場所中越來越普遍。

最令人擔憂的是，所有這些努力都可能導致“身份驗證疲勞”，用戶被要求進行大量身份驗證，以至于他們不再關注通知。這本身就是一個重大的安全漏洞，增加了違規(guī)的可能性。

始終加密所有內容

這種策略冒著過時的風險過度依賴有用的安全層。正如我們所知，計算技術的進步已經(jīng)有可能破壞或嚴重限制加密。

此外，當您認為加密僅只是密鑰安全時，世界立法機構有能力通過強制后門進入端到端加密系統(tǒng)的能力增加了破壞加密并開辟了攻擊途徑的可能性。這可能會使組織幾乎像加密之前一樣容易受到攻擊。

為了實現(xiàn)零信任的真正潛力，需要對這些原則進行更全面、更廣泛和可持續(xù)的解讀。

全面零信任

其核心是有效的零信任策略可實現(xiàn)積極的用戶體驗，同時確保高級別的安全性。使用分析與自動化技術來監(jiān)控網(wǎng)絡中可疑行為，并對其采取措施有助于減少摩擦。

以下組件是啟用基于零信任原則的綜合安全架構的關鍵：

為了確保強大的身份驗證功能， 應通過自動收集用戶行為數(shù)據(jù)來持續(xù)監(jiān)控網(wǎng)絡 。這些數(shù)據(jù)構成了可分析和處理的信息的實時基礎，用可操作的信息代替重復的身份驗證請求。

為了建立訪問協(xié)議，網(wǎng)絡架構師應該構建用戶行為分析（UBA），它可以根據(jù)數(shù)據(jù)使用多個變量作為上下文線索，并使用 AI 進行學習，以便對可疑活動作出更好、更快地判斷。這有助于避免系統(tǒng)設計中的繁瑣規(guī)則，并將身份驗證請求定位為有針對性的訪問工具，而不是默認設置。

通過環(huán)境中的分布式計算來實現(xiàn) UBA 的承諾，利用日志設備、網(wǎng)卡、計算節(jié)點和存儲節(jié)點來加速分析功能。

為了在出現(xiàn)數(shù)據(jù)泄露時保護數(shù)據(jù)，應構建系統(tǒng)在整個數(shù)據(jù)中心網(wǎng)絡架構中進行防御，而不是專注于邊界。網(wǎng)絡架構通常側重于防止惡意行為者離開網(wǎng)絡，但這與“邊界安全”相反。限制網(wǎng)絡內部的橫向移動同樣重要。

加密可以有所幫助，但需要在主要策略中納入更大的架構網(wǎng)絡調整，以及手段改變和添加。這種方法將使更多數(shù)量級的數(shù)據(jù)需要被收集、分析和包含在自動化安全系統(tǒng)中。

這些策略旨在根據(jù)企業(yè)的需求進行擴展和發(fā)展。利用現(xiàn)有基礎設施進行大規(guī)模數(shù)據(jù)收集、分析和處理的前景聽起來可能令人望而生畏。為了支持這項工作，NVIDIA 零信任網(wǎng)絡安全平臺結合了三種技術 —— NVIDIA BlueField DPU 、NVIDIA DOCA 和 NVIDIA Morpheus 網(wǎng)絡安全 AI 框架，使得開發(fā)合作伙伴能夠為數(shù)據(jù)中心帶來新的安全級別。

總結

NVIDIA 零信任平臺帶來了加速計算和深度學習的能力，可以持續(xù)監(jiān)控和檢測威脅，并將應用程序與基礎設施隔離，以限制橫向入侵，其速度比沒有 NVIDIA 加速的服務器快 600 倍。借助這種基礎設施、強大的數(shù)據(jù)管理和人工智能技術，在下一代網(wǎng)絡安全中可以實現(xiàn)零信任的承諾。