原文:June 7, 2022 by RICK MERRITT
翻译:赵茹萱
校对:王洪菠
本文约3300字,建议阅读5分钟
事实上,网络中充满了数据,其中很多数据可以被人
工智能实时筛选,自动地增强数据的安全性。
互联网时代的复杂性引发了安全漏洞的数字瘟疫。持续不断的数据和身份盗窃催生了一场新的运动和一个现代的口头禅——零信任,这甚至成为美国总统授权的主题。
那么,什么是零信任呢?
“零信任是一种网络安全策略,用于验证每个用户、设备、应用程序和交易。零信任意味着,任何用户或流程都不应该被信任。”这一定义来自于NSTAC的报告,这是一份由美国国家安全电信咨询委员会于2021年编制的共56页的零信任文件,该委员会由AT&T前首席执行官领导的数十名安全专家组成。
在一次采访中,创建该术语的Forrester Research前分析师John Kindervag指出,他在他的零信任词典中定义:零信任的最初战略意义是通过消除数字信任来防止数据泄露,零信任应该可以通过现有的技术手段进行部署并在未来不断地迭代提升。
零信任的基本原则是什么?
Kindervag在他 2010年的报告中提出零信任的三项基本原则。所有的网络流量都不该被信任,所以用户必须:“验证和加密所有资源,限制并严格执行访问控制,监测并记录所有网络流量。”这就是为什么零信任有时被称为“永不信任,始终验证”。
如何实现零信任?
正如定义所暗示的那样,零信任不是一种单一的技术或产品,而是一套现代安全策略原则。美国国家标准与技术研究院 (NIST) 在其开创性的 2020 年报告中详细介绍了实施零信任的指南。