零信任：新时代的网络安全

零信任不仅仅是一个时髦词汇。它是网络安全策略的一个步骤。在过去的十几年里，由于内部和外部威胁，组织面临的安全事件数量有所增加。根据 ManageEngine 在 2021 年的数字准备调查，我们得出结论，钓鱼、网络端点攻击和恶意软件是最突出的安全威胁，但只有 26% 的组织选择实施零信任。零信任不再是一个选择，而是一个必然。在 ManageEngine，我们已经开始在我们的网络管理平台中实施零信任，以防止这些可预防的攻击。零信任建立在三个原则之上。

一、零信任的三个原则

1. 最小权限原则：最小权限原则是限制用户对资源访问的做法，只提供足够满足其执行任务的权限。这个原则也适用于请求授权的系统、流程、设备和应用。

2. 不信任则验证：隐式信任一直是安全性的一个弱点。我们知道在网络中不能盲目信任每个人。采用零信任，我们缩小了隐式信任区域，并强制执行持续的显式验证。

3. 假定遭到入侵：在安全领域，做悲观主义者是有帮助的：假定入侵已经发生或正在发生。微分隔允许你控制受影响的范围，并阻止入侵的扩散。

二、评估 ManageEngine 的安全模式

传统的城堡和壕沟模型是在假设网络内的每个人都是可信的前提下运作的。它能够排除外部威胁和漏洞，但并未考虑内部用户或设备。这在将近20年的时间里一直是标准策略。现在，这已经过时了。当 ManageEngine 的员工每天都在办公室工作时，基于边界的安全模型是有效的。对信息的访问仅通过公司的Wi-Fi授予。在疫情爆发前，远程工作还不是主流。除了开发团队和一些远程员工外，ManageEngine 对 VPN 的需求并不重。当疫情爆发时，所有人都转向远程工作。与此同时，我们正在为多个团队招聘新员工。

三、ManageEngine 面临的挑战

1. 容量：VPN 用户数量激增，导致移动数据的性能缓慢和连接问题，我们不得不限制带宽以优化网络性能。

2. 有限的验证：仅通过用户名和密码授权VPN访问存在安全隐患，如使用通用密码或在笔记应用中存储密码。

3. 可见性：VPN 日志不够全面，无法准确追踪用户访问行为。

4. 访问控制：无法从被入侵的设备或账户中收回权限，增加了系统的漏洞。

5. 成本：扩展VPN以满足印度分支办公室的需求成本高昂，因为我们使用了第三方服务。

管理团队意识到，为了保持业务正常运转，他们必须加强安全措施。我们的安全团队开始行动——是时候寻找一个比VPN更强大的替代方案了。

四、为什么开始零信任之旅？

疫情不但迫使企业员工远程进行办公，对企业安全也造成了极大的挑战。Zoho已拥有超过19,000名员工，并正在逐渐过渡到混合工作模式。平衡办公室和远程团队需要一个复杂的安全框架。一个成功的企业总是网络攻击的最大目标。这是不可避免的。它面临着不断进化的外部威胁、内部攻击、漏洞等风险。在过去几年中，我们注意到潜在威胁的增加。因此，ManageEngine决定开始实施零信任。零信任并不是万无一失的。攻击仍然存在空间，但零信任是一种额外的保护形式，每个组织在远程监控网络中都必须投资。

五、ManageEngine ITOM 产品在零信任下的应用案例

案例一：某大型企业的网络安全运维

某大型企业拥有庞大的 IT 基础设施，包括多个分支机构和大量的网络设备、服务器和应用程序。为了保障企业的网络安全和业务连续性，该企业采用了 ManageEngine ITOM 产品，并结合零信任安全理念，构建了一套完善的安全运维保障体系。

在身份认证方面，该企业采用了多因素认证技术，要求员工在登录系统时必须提供用户名 / 密码、数字证书和动态口令等多种身份凭证。同时，企业还采用了 RBAC 技术，为不同的员工分配了不同的角色和权限，确保员工只能访问其被授权的资源。

在实时监控与审计方面，该企业使用 OpManager、Applications Manager 和 NetFlow Analyzer 等产品，实时监控网络设备、服务器、应用程序和网络流量等的性能和状态。当系统发现异常行为或潜在的安全威胁时，会及时发出告警通知，并记录相关的审计日志。

在数据安全与保护方面，该企业采用了数据加密、访问控制和数据脱敏等技术，保护企业的数据安全和隐私。同时，企业还定期对系统数据进行备份，确保在系统出现故障或数据丢失时能够快速恢复数据。

通过采用 ManageEngine ITOM 产品和零信任安全理念，该企业有效地提高了网络安全防护能力，降低了安全风险，保障了企业的业务连续性和数据安全。

案例二：某金融机构的应用性能管理

某金融机构拥有大量的核心业务应用系统，如网上银行、手机银行、支付系统等。为了保障这些应用系统的性能和可用性，该金融机构采用了 Applications Manager 产品，并结合零信任安全理念，构建了一套完善的应用性能管理体系。

在身份认证方面，该金融机构采用了多因素认证技术，要求用户在登录应用系统时必须提供用户名 / 密码、数字证书和动态口令等多种身份凭证。同时，金融机构还采用了 RBAC 技术，为不同的用户分配了不同的角色和权限，确保用户只能访问其被授权的应用系统和功能。

在实时监控与审计方面，该金融机构使用 Applications Manager 产品，实时监控应用系统的性能和可用性。当应用系统出现性能问题或潜在的安全威胁时，会及时发出告警通知，并记录相关的审计日志。

在数据安全与保护方面，该金融机构采用了数据加密、访问控制和数据脱敏等技术，保护用户的数据安全和隐私。同时，金融机构还定期对应用系统数据进行备份，确保在系统出现故障或数据丢失时能够快速恢复数据。

通过采用 Applications Manager 产品和零信任安全理念，该金融机构有效地提高了应用系统的性能和可用性，保障了用户的体验和数据安全。

零信任安全理念为企业的网络安全运维提供了新的思路和方法，ManageEngine ITOM 产品在零信任架构下，为企业的安全运维保障提供了全面而强大的解决方案。通过强化身份认证与授权、实时监控与审计、数据安全与保护、漏洞管理与补丁更新和安全策略管理等措施，ManageEngine ITOM 产品可以帮助企业有效地防范网络攻击和数据泄露等安全威胁，保障企业的业务连续性和数据安全。

随着数字化转型的不断深入，企业的 IT 环境将变得更加复杂，网络安全威胁也将日益增多。在未来，ManageEngine ITOM 产品将继续不断创新和完善，结合人工智能、大数据、区块链等新技术，为企业提供更加智能、高效、安全的运维管理解决方案。同时，企业也需要不断加强自身的安全意识和安全管理能力，积极采用先进的安全技术和产品，共同构建一个安全、可靠的数字化未来。