为什么选择零信任云安全?
组织的计算工作负载越来越多地依赖云端。同时,由于对安全性的紧迫需求、混合分散型员工的新需求,以及数据分析、机器学习 (ML)、人工智能 (AI)(得益于云能够随时随地不间断地访问软件、数据和其他资源)的激增数据,这一趋势得到进一步推动。云还将组织、网络和用户与边缘计算设备和系统连接起来。
这些趋势催生了大量、多样的用户、设备和应用,它们相互松散地通过云进行连接。然而,这些都可能受到恶意行为和恶意代码的攻击。
网络安全是涉及云的组织的关注重点,因为他们必需保护数据资产、应用、设备和用户。数据管理也在多个行业和国家受到监管,而是否合规则取决于安全措施。
要做到高度有效,网络安全策略必须控制云上和网络上的所有资产访问,积极识别并回应威胁,并快速做出响应从而将攻击带来的损害降到最低并尽快恢复。
实施零信任安全框架是最好、最负责任的建立网络安全文化的做法,特别是在云中。零信任的目标是对所有攻击面的持续保护。这些面包括网络、数据中心、云端和端点的所有物理资产,以及联网的软件、数据和用户本身。
什么是零信任安全?
零信任是一项全面的安全策略,旨在保护组织网络和云端的所有硬件、软件、数据和用户。
零信任安全方法不同于更传统的周界防御策略。在周界防御中,组织通过防火墙和多层软件安全解决方案保护其私有网络的边界,监管并过滤与公有网络之间的流量。一旦某个用户或设备经验证准入私有网络,它们通常会被当作可信任来源。
相比而言,零信任安全框架则预设网络攻击可能在任何时候发生,且并没有所谓值得信任的来源。该框架旨在应用安全技术,保护整个组织基础架构的硬件、软件、数据和用户,每一个用户或设备必须在每一次互动之前进行授权。
零信任随着云计算增长而流行,因为基于云的运行无法被周界防御系统轻易控制。
新冠肺炎 (COVID-19) 的流行加速了向零信任安全的迁移。很多人突然转向远程工作,大量的用户和设备不再被限制在组织的防火墙或其他周界防御系统中。零信任得到更广泛的采用,因为它需要所有用户和设备在每次网络会话之前都需经过验证和授权。在 Okta 2021 年的一项研究中,受调查的全球公司中有 78% 表示由于疫情,零信任已成为更优先的事项。近 90% 已经开始部署零信任工作,而疫情之前这一数字是 41%。1
云端零信任安全的优势
零信任云安全需要动态进行身份和访问管理 (IAM)。必须为合适的用户或设备提供合适资源的访问权限。相反地,未经授权的用户和设备必须被拦截。某些个人可能只限于访问特定资源,访问其他资源时会被拦截。例如,一些大型组织通常会限制系统管理者的权限,这样只有 IT 员工能够访问这些应用和文件。
实施零信任云安全措施帮助组织保护基于云的数据、应用和业务模型免受网络攻击。零信任也会保护客户隐私数据的安全,以符合监管要求和良好商业惯例。
实施零信任云安全
零信任安全框架应在设计初始阶段便整合到全新或升级后的云基础设施计划中。
实施零信任架构和安全政策时,组织应该从深度防御策略开始。这一分层方法利用多个安全措施来保护组织资产。
深度防御应首先建立在受信任的硬件基础上,以更好地保护支持其他技术堆栈的固件、BIOS 和操作系统 (OS)。
加密和平台保护等工具组成下一层防御,解决组织的 IT 安全问题。
最后,基于软件的安全解决方案可以由硬件和固件增强的功能加速、加强。所有底层设施都受到保护后,基于云的应用和其他软件便可以在安全基础上有信心地进行部署。
有了提升后的云端数据安全功能,借由支持保密计算的技术,组织可以获得公有云、私有云或混合云部署带来的成本和灵活性优势。
英特尔和零信任安全
英特尔提供硬件增强工具和功能支持零信任云安全框架。安全功能已内置在英特尔® 芯片中,随时可在软件中启用。
这些功能和其他英特尔® 安全技术可助力改进身份与访问管理,便于实施基于角色的控制和零信任安全流程。
请注意,即使在公有云中,云架构师也可以独立访问其中一些内置功能。其他功能必须由独立的云服务提供商启用。
- 基于英特尔® 至强® 可扩展处理器的云实例提供了一个平衡的架构,可提供内置的 AI 加速和高级安全功能。英特尔® 至强® 可扩展处理器针对不同工作负载类型和性能级别进行了优化。
- 英特尔® Software Guard Extensions(英特尔® SGX)提供了基于硬件的可信任执行环境,将特定应用代码和数据隔离在内存中。英特尔® SGX 启用了经授权的软件以高针对性和控制性来分配和保护内存安全隔区。
- 英特尔® Trusted Execution Technology(英特尔® TXT)保障平台在加载敏感数据前启动已知的良好配置。
- 第四代英特尔® 至强® 可扩展处理器的英特尔® Crypto Acceleration 功能可在严格加密的网络安全流程中优化工作负载性能。
除这些技术外,英特尔还在开发新的授权服务,代号为“Project Amber”,预计将在 2023 年提供广泛使用。2 Project Amber 将提供第三方鉴证服务,以验证云、边缘和本地环境的可信任度。远程服务将验证保密计算环境,确保正确配置、已更新到最新版本且加载了必备软件,才允许它们处理保密数据。
因为这些技术和工具根植于硬件本身,便帮助减少了潜在的攻击面及私有云、公有云和混合云环境中创建安全隔区的相关威胁。
其他英特尔® 技术帮助保护易受攻击的端点不受未授权用户和恶意代码的攻击。例如,基于英特尔® vPro® 平台的台式机和笔记本电脑包含了英特尔® Hardware Shield 保护系统固件、操作系统、内存、应用和数据免受高级威胁攻击。
拥抱零信任
零信任是一套完整的安全框架,用于保护组织在云、数据中心、端点和边缘的运行和资产。随着组织继续推进数字化和云现代化,在系统设计早期将零信任安全策略加入云架构中至关重要。这一高效的安全策略和支持其全面实施的技术与基础设施应作为优先事项执行。英特尔的安全技术有助于收紧身份和访问管理,实现基于角色的控制和政策,促成整个基础设施的零信任安全。
英特尔® 技术通过可加强第三方安全解决方案的硬件增强功能、优化软件和开发者工具支持零信任云安全。另外,英特尔还与云服务提供商、安全软件供应商、系统集成商合作,针对全球各类计算环境和使用模型构建强大、高效的安全解决方案。