受疫情影響，許多公司、高校以及其他組織，不得不將一些應用的入口，開放到互聯(lián)網(wǎng)上。在這個過程中，容易把業(yè)務的端口暴露出來，成為黑客的攻擊目標。

此外，很多企業(yè)都正在飽受“內鬼”問題的困擾。

有贊微盟系統(tǒng)遭核心運維人員賀某刪庫，導致大面積服務集群無法響應，生產環(huán)境及數(shù)據(jù)遭到嚴重破壞。

某一家互聯(lián)網(wǎng)巨頭公司，在重點城市的日均單量數(shù)據(jù)，被內部人員以2萬元的價格，賣給了競爭對手。

員工離職時，拷走公司業(yè)務所有的源代碼……

類似的事情還有很多，有時候數(shù)據(jù)泄露，并不是遭受黑客攻擊，而是來自“內鬼”的攻擊，防不勝防。

在這樣的背景下，由研究機構Forrester的首席分析師約翰·金德維格在2010年提出的“零信任”安全又火了起來。

2018年，英格索蘭工業(yè)美國公司發(fā)現(xiàn)，其服務工程師孫某將公司69萬份保密信息下載到硬盤以及轉發(fā)到自己的私人郵箱里。

相關工作人員對孫某進行約談后，隨即解除了勞動合同，一紙訴狀將其告上法庭。

最高人民法院終審判決認為，孫某的行為構成《中華人民共和國反不正當競爭法》，應承擔相應的民事責任。

像“內鬼”下載公司內部機密資料的事件，并不少見。

在大數(shù)據(jù)時代，數(shù)據(jù)已然成為影響企業(yè)生存發(fā)展的核心機密。

以早之前進行補貼大戰(zhàn)的兩家互聯(lián)網(wǎng)企業(yè)為例，如果自己的當天的補貼單量及補貼價格，被泄露給競爭對手。那么對手就可以根據(jù)其補貼情況，靈活調整補貼打法，directadmin授權，占盡優(yōu)勢。

為了解決近年來越來越頻繁的“內鬼”問題，“零信任”理念正式登上歷史舞臺。

什么是“零信任”

“零信任”既不是一種技術手段，也不是某一種產品，而是一種安全理念。它會假定網(wǎng)絡邊界內外的任何主體，在未經(jīng)驗證前都不予信任。

“持續(xù)驗證，用不信任”，是零信任的基本觀點。

正如約翰·金德維格所言：“證明員工身份的不是密碼，是行為?！?/p>

除了使用身份鑒別技術外，“零信任”還會監(jiān)控賬號的行為。

舉一個簡單的例子，如果某一企業(yè)員工，擁有訪問企業(yè)源代碼資源庫的權限，但這一賬號并不是判斷合法行為的唯一標準，即不是在權限內的所有行為，都會被認為是合理合法。

正常來說，每天工作時間這名員工會做一些代碼的拉取和提交行為，但如果有一天他下載了大量平時不經(jīng)常訪問的數(shù)據(jù)庫代碼，顯然該行為存在風險，免備案主機，應及時預警或者阻斷。

2020年，美國國家標準與技術研究院(NIST)發(fā)布了零信任架構標準，進一步推動了“零信任”安全的發(fā)展。

如今，在阿里、字節(jié)、快手等大廠，如果員工離開座位沒有關閉電腦，很快就會被風控部門約談，甚至被罰款。

以前滴滴的員工可以隨意查看跨部門的單量信息，現(xiàn)在已經(jīng)被嚴格的權限方案所限制。

快手、騰訊內部的數(shù)據(jù)文檔不再能隨意下載，也不能被傳輸。

近年來，數(shù)據(jù)泄露事件有逐漸擴散的趨勢，越來越多的企業(yè)將自己的數(shù)據(jù)搬到“云上”，網(wǎng)絡邊界越來越模糊，這些因素對企業(yè)安全提出了更高的要求，“零信任”安全理念也正在被越來越多的企業(yè)所接受和使用。

文章標題：“零信任”安全，為什么這么火？
分享URL：http://www.rwnh.cn/news/271556.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設、網(wǎng)站設計公司、服務器托管、商城網(wǎng)站、手機網(wǎng)站建設、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)