最近为 IBM 制作的一份报告显示，数据泄露的平均成本为 386 万美元。同一份报告称，仅仅拥有远程员工就增加了近 137,000 美元的数据泄露解决成本。这些都是很大的数字。而且，随着今天向远程劳动力的迁移，这应该引起那些负责组织数据安全的人员的充分关注。

同样的迁移还加速了云的采用，以更好地支持分布式劳动力并满足客户需求。这为网络犯罪分子打开了新的大门，最近的一项研究中有 20% 的公司表示，他们因远程员工而面临安全漏洞。即使使用云也不意味着您完全安全，去年 1 月至 4 月期间基于云的攻击增加了 630%就证明了这一点。

由于用户无处不在，多个工作负载在服务器和云中运行，以及各种设备连接到您的网络，确保数据安全已成为一项巨大的挑战。此外，随着网络犯罪分子变得越来越狡猾，是时候放弃传统的外围防御了。

什么是零信任？

零信任从边界不再存在的角度来看待安全。由于远程工作人员使用个人设备，以及公司将应用程序和服务转移到混合基础设施或云，您的网络边界无法明确定义。这就是为什么零信任背后的概念是每个设备和每个用户都不能被信任，并且必须始终经过验证。

但构建零信任模型可能非常具有挑战性，特别是当您需要它与遗留系统集成时。这是许多公司最终仅在其基础设施的部分部署零信任的原因之一——他们缺乏完全迁移到零信任的预算或专业知识。这就留下了容易受到攻击的漏洞。而且，虽然如果您从头开始构建新的基础设施，采用零信任方法会更容易，但利用内部资源仍然不容易。这是因为零信任是建立在六层控制之上的，每一层都增加了新的挑战。

零信任：6 层控制

1. 身份

当身份（无论是个人、服务还是设备）尝试访问资源时，零信任控制平面就会发挥作用，验证访问尝试的身份，确保其合规且适合该身份，并对其进行限制最小权限访问原则。

2. 设备

一旦身份被授予访问权限，数据就可以流向各种资源（从手机到物联网设备，再到云托管服务器），从而形成巨大的、暴露的攻击面。零信任可确保这些资源的访问安全，监控并强制执行设备的运行状况和合规性。

3. 应用程序和API

用于使用数据、应用程序和 API 的界面需要零信任控制，以确保适当的应用内权限、限制访问、监视异常行为并验证安全配置选项。

4. 数据

保护数据始终是 IT 的首要关注点，即使数据离开了设备、应用程序、基础设施和网络。因此，它应该始终被加密，并根据数据的分类和标记方式进行零信任限制访问。

5. 基础设施

您的所有基础设施资源（服务器、基于云的虚拟机等）都面临潜在威胁。

零信任评估版本、配置和访问以强化防御，使用遥测技术检测攻击和异常情况，自动阻止和标记风险并采取保护措施。

6. 网络

当您的所有数据在某个时刻通过网络基础设施访问时，零信任网络控制可提高可见性，并帮助防止攻击者通过分段网络进行横向移动，同时确保实时威胁防护、端到端加密、监控、和分析。

零信任等于更多保护

由于许多公司面临新的远程工作现实和日益增加的网络威胁的挑战，零信任是数据保护的下一步逻辑。零信任通过采取精细的方法来控制和保护数据和访问并阻止任何访问尝试（除非这些访问尝试经过 100% 验证），从而加强您的安全策略。

无论您的员工是现场员工、远程员工还是混合员工，零信任都是有意义的。我们只需向您介绍我们在本文开头指出的数据泄露的成本即可阐明我们的观点。零信任可以最大限度地减少您被成功攻击并付出高昂的金钱和声誉代价的机会。

零信任复杂性

大多数公司已经在其组织的某些部分使用零信任策略，通常是数据丢失防护、移动设备管理 (MDM)、安全信息和事件管理 (SIEM)、多重身份验证 (MFA) 和网络访问。这些公司甚至可能正在使用网络分段。但最终，在我们描述的所有六个层中实现零信任是一项艰巨而复杂的工作，可能需要大量时间来管理跨职能团队。

尽管如此，Forrester 指出，绝大多数组织都在实施零信任计划。这些通常是雄心勃勃的尝试，但它们表明这些组织认识到拥有零信任策略的重要性。但转向零信任并不一定很复杂。

那么，您的零信任之旅从哪里开始或继续前进呢？

至于从哪里开始，没有“正确”的答案。确定起点应基于组织的初始目标、现有能力和最终战略。无论您的组织正在构建零信任策略还是对您来说完全陌生，寻找熟练的专业人员、获得资金以及了解如何评估许多可用技术都可能是一项挑战。