傳統(tǒng)上，數(shù)據(jù)中心安全性是圍繞防火墻和其他基于周邊設(shè)備的防御而建立的，這些防御措施專注于防御危險(xiǎn)的外部力量。但是，當(dāng)具有正確憑據(jù)的用戶進(jìn)入外圍防御體系時(shí)，該體系結(jié)構(gòu)隱含著對(duì)他們的信任，而一旦進(jìn)入，就很難阻止用戶的不良行為。因此，真正保護(hù)數(shù)據(jù)和工作負(fù)載最好的方法是采用一種不信任的模型。這種零信任安全架構(gòu)正在改變數(shù)據(jù)中心的游戲規(guī)則。通過(guò)了解其一些主要優(yōu)勢(shì)，人們可以更好地保護(hù)最關(guān)鍵的組織資產(chǎn)。

刪除假設(shè)

如今，數(shù)據(jù)中心的安全性充滿了假設(shè)。假設(shè)如果有人擁有訪問(wèn)網(wǎng)絡(luò)的憑據(jù)，那么網(wǎng)絡(luò)應(yīng)該信任該用戶。但是當(dāng)這些憑據(jù)被盜時(shí)會(huì)發(fā)生什么?在這種情況下，這種假設(shè)就會(huì)打開(kāi)潘多拉的盒子，隨著威脅的不斷發(fā)展和多租戶環(huán)境變得越來(lái)越復(fù)雜，安全環(huán)境實(shí)際上變得越來(lái)越糟。

因此，人們必須完全從安全思維中刪除假設(shè)。在零信任模型中，基于每個(gè)租戶、每個(gè)應(yīng)用程序或每個(gè)工作負(fù)載分配訪問(wèn)權(quán)限。為此，即使用戶的憑據(jù)被盜，他們也無(wú)法自由訪問(wèn)網(wǎng)絡(luò)的所有部分，而只能看到為他們定義的那些資源。此外，在零信任模型中，人們不斷評(píng)估用戶的數(shù)字身份，因此如果識(shí)別出異常行為，系統(tǒng)可以快速移動(dòng)以改變?cè)L問(wèn)或減輕潛在問(wèn)題。

提高數(shù)據(jù)中心的靈活性

數(shù)據(jù)中心是一個(gè)極其復(fù)雜的網(wǎng)絡(luò)，其工作負(fù)載在許多不同的環(huán)境(私有云、公共云、混合云)，并且每個(gè)租戶都可以訪問(wèn)資源。這種復(fù)雜性使得簡(jiǎn)單的外圍防御能夠從投資和實(shí)施的角度讓網(wǎng)絡(luò)管理員更加關(guān)注。然而，正是這種簡(jiǎn)單性使數(shù)據(jù)中心面臨危險(xiǎn)，并使其在資源配置方面保持僵化。

零信任模型的一個(gè)附帶好處是它為網(wǎng)絡(luò)管理員提供的靈活性。由于可以基于每個(gè)租戶、每個(gè)應(yīng)用程序和/或每個(gè)工作負(fù)載分配訪問(wèn)權(quán)限，因此人們可以更好地了解系統(tǒng)資源的使用方式。人們可以根據(jù)所定義的各個(gè)訪問(wèn)規(guī)則分配所需的資源，而不必將所有用戶的資源用于整個(gè)網(wǎng)絡(luò)。事實(shí)上，某些訪問(wèn)甚至不需要網(wǎng)絡(luò)規(guī)定，可以定義為點(diǎn)對(duì)點(diǎn)，從而釋放更多寶貴的網(wǎng)絡(luò)資源。

防火墻的消亡

實(shí)際上，零信任安全模型需要非常精細(xì)的精度級(jí)別，其中每個(gè)端點(diǎn)、物聯(lián)網(wǎng)設(shè)備、用戶等都使用自己的訪問(wèn)控制進(jìn)行定義。在很長(zhǎng)一段時(shí)間內(nèi)，這種復(fù)雜性使得零信任安全更像是一個(gè)夢(mèng)想而不是現(xiàn)實(shí)，因?yàn)闆](méi)有什么能夠協(xié)調(diào)這種復(fù)雜性。更不用說(shuō)沒(méi)有人可以刪除防火墻并在真空中運(yùn)行。然而，隨著人工智能和機(jī)器學(xué)習(xí)的進(jìn)步，現(xiàn)在可以在軟件級(jí)別協(xié)調(diào)零信任網(wǎng)絡(luò)。人工智能能夠根據(jù)具體情況檢查行為，并立即對(duì)任何異常行為進(jìn)行標(biāo)記或采取行動(dòng)。這最終意味著，隨著零信任在當(dāng)前防火墻之后被廣泛實(shí)施，數(shù)據(jù)中心管理人員將意識(shí)到防火墻是多余的，因此它將不復(fù)存在。

確實(shí)，最后的轉(zhuǎn)變可能還需要幾年時(shí)間，但現(xiàn)在通過(guò)實(shí)施零信任系統(tǒng)和政策，數(shù)據(jù)中心可以開(kāi)始實(shí)現(xiàn)安全性和靈活性的好處，同時(shí)為不可避免的模式轉(zhuǎn)變做好準(zhǔn)備。更不用說(shuō)這些數(shù)據(jù)中心將受到更好的保護(hù)，免受當(dāng)今越來(lái)越普遍的代價(jià)高昂且日益加強(qiáng)的網(wǎng)絡(luò)攻擊。這種轉(zhuǎn)變需要持續(xù)的投資，不會(huì)在一夜之間完成，但所獲得的好處將是長(zhǎng)期和深遠(yuǎn)的。