答案
用通俗话说什么是零信任?
零信任(Zero trust)是一个简单的理念。不要仅仅因为某个人、设备或应用在你的网络内部,或以前曾连接过,就自动信任它。
简短回答
零信任是一种搭建技术的方式:每次进行访问时,都要基于“谁在访问、正在使用什么设备、想访问什么资源/目标、以及是否有任何异常迹象”来进行校验。
用更直白的话说,它意味着:“永远不要默认信任,永远要进行验证。”员工可能被允许使用邮箱和薪资,但不能使用机房摄像头系统,或者访问老板的网银资料文件夹。笔记本电脑在满足“已更新且受到保护”的前提下可能被允许连接;但如果它很旧、缺少安全更新,或来自不常见的位置,就不应允许。
这并不意味着没人能工作。它的意思是:让人们只获得他们真正需要的访问权限,并以最安全、现实可行的方式来实现。对小型企业而言,零信任通常与其说是买一个“大而全”的产品,不如说是先落地几条合理的规则。
为什么它对你的企业很重要
许多小企业仍在沿用一种旧的假设:只要在办公室里,或拿着密码的人,通常就更可能是安全的。这在多年前更有意义——当时工作主要发生在一个建筑里,且是少数几台桌面电脑。
如今,人们在家办公,会用手机、笔记本、平板、云应用,以及共享文件。供应商可能会远程登录。业主可能在路上通过手机来审批付款。如果一个密码被盗,或者某台设备本身安全性较弱,那么“广泛访问”就可能带来更大的问题。
零信任有助于把这种风险控制得更小。它可以减少一次错误、被盗的密码,或受感染设备能扩散到多远。没有任何诚实的服务商会承诺存在“不可被黑”的网络,但更好的访问规则可以让日常问题更小、更容易被遏制。
它也有助于基本的业务管理纪律。当访问被清晰地组织起来,新员工更容易入职、有人离职时权限更容易及时移除,也更容易看清谁应该被允许使用哪些系统。
零信任通常包含什么
一个实用的零信任部署往往从“身份(identity)”开始。也就是说,在让某人进入邮箱、文件、会计,或具体业务系统应用之前,先确认对方是谁。常见的一步是 MFA(多因素认证,multi-factor authentication):除了密码之外,再提供第二种证明,例如验证码、应用提示,或安全密钥。
下一部分是“设备信任”。企业可能会要求笔记本和手机满足某些标准,然后才允许它们接入。比如,设备应具备最新更新、磁盘加密,以及安全软件。你可能会听到“终端(endpoint)”这个词——它只是指用户设备,例如笔记本、台式机、手机或平板。
随后是“按角色限制访问”。员工应只获得完成工作所需的最低权限,这通常被称为最小特权(least privilege)。簿记员不需要和运营经理一样的权限。离职员工不应该在六个月后仍然保有对共享文件夹的访问。
还包括“持续性检查”。这可能包含打补丁(patching),也就是应用软件与安全更新;记录日志、触发告警,以及用于阻止异常登录的规则。一些托管式IT服务提供商也会使用 EDR(终端检测与响应,endpoint detection and response),这是一种软件,会监视企业设备的可疑行为,并帮助调查或遏制问题。
小型企业做到什么程度算“做得好”
好的零信任不应该像迷宫。它应当清晰、可记录(有文档),并且符合你们团队的实际工作方式。员工应当知道如何登录、何时需要 MFA、可以使用哪些应用,以及当设备丢失或被更换时该怎么做。
健康的配置通常包括:管理工作使用独立账号、共享登录更少,并且当角色发生变化时能及时移除访问权限。像薪资、银行、客户记录或医疗信息等敏感系统,其控制强度应当比一般的共享驱动器更严格。
“做得好”也意味着要匹配业务规模。12 人的办公室不需要和 200 人、跨多个地点的公司使用同样的设置。要求会因行业与州(地区)不同而变化。如果你处理医疗相关信息,HIPAA(《健康保险流通与责任法案》)可能就很关键。如果你收取银行卡付款,PCI(支付卡行业数据安全标准,Payment Card Industry Data Security Standard)也可能很关键。部分客户也可能会询问 SOC 2,它是一种常见的报告框架,用于说明公司如何处理安全控制。
如果你正在与托管式IT服务提供商合作(也称为 MSP,managed IT provider),可以询问他们如何处理身份管理、设备标准、访问审查,以及人员离职后的权限处理(offboarding)。同时问清他们会优先做什么、哪些可以稍后做、以及哪些对你们这个规模来说“确实可行”。
零信任“不是什么”
零信任不是某一种“神奇产品”。如果有人把它说成只有一个产品就能搞定,那就要小心。它是一套策略,由政策、设置、工具和习惯组成。
它也不等同于“把所有东西都拦掉”。好的思路是在安全与效率之间取得平衡。如果你的团队没有在不断的例外情况下就无法完成日常工作,那么这个部署大概率需要调整。
它也不只适用于大型企业。中小企业可以用更简化的方式,采用相同的基本思路。通常第一步并不复杂:更严格的登录规则、清理更规范的用户访问、建立更好的设备标准、以及减少共享账号。
如果你想了解选择项,浏览更多通俗的解答或查看托管式IT服务主题。如果你希望有人帮你找到一个可供沟通的独立服务商,获取匹配。NodeBridge IT 是一项免费的匹配服务。我们不会管理、监控、保护、修复或访问你的系统。
一则坦诚说明
NodeBridge IT 是一项免费的匹配服务,不是IT服务商。这里提供的信息是一般性与教学用途——在您签约前,请与任何服务商以书面形式确认服务范围、SLA与价格。没有任何人能够保证正常运行时间、安全性、事故预防或数据恢复。
零信任的意思是:你的企业不再默认把每个用户和设备都当作安全,而是开始每次都认真核验访问权限。
常见问题
零信任是不是只是“网络安全”的另一个说法?
不完全是。网络安全是更广泛的工作,旨在保护系统与数据。零信任是其中的一种思路:重点是验证访问,而不是默认认为用户或设备本身就是安全的。
小企业真的需要这样做吗?
很多企业确实需要,至少要以基础形式来做。如果你的团队使用云应用、远程访问、电子邮件、共享文件,或使用移动设备,那么像 MFA 和基于角色的访问这样的简单零信任步骤通常很有意义。
零信任会让我的员工变慢吗?
可能会增加一点点阻力,尤其是在登录时,但如果系统部署得当,它仍应该相对容易使用。目标是进行合理的校验,而不是让正常工作变得困难。
零信任会很贵吗?
有时最大的变化不在于买很多大型软件,而在于流程与部署方式。成本会因团队人数、设备数量、安全需求以及范围而不同;你听到的任何价格区间都应当视为通用指导,而不是报价。
我应该向托管式IT服务提供商咨询哪些关于零信任的问题?
询问他们如何处理 MFA、设备标准、按角色分配员工访问权限、共享账号、人员离职后的权限处理、打补丁,以及安全监控。也可以询问他们会先为像你们这样的企业优先做什么,以及原因是什么。