傳統(tǒng)上，數據中心安全性是圍繞防火墻和其他基于周邊設備的防御而建立的，這些防御措施專注于防御危險的外部力量。但是，當具有正確憑據的用戶進入外圍防御體系時，該體系結構隱含著對他們的信任，而一旦進入，就很難阻止用戶的不良行為。因此，真正保護數據和工作負載最好的方法是采用一種不信任的模型。這種零信任安全架構正在改變數據中心的游戲規(guī)則。通過了解其一些主要優(yōu)勢，人們可以更好地保護最關鍵的組織資產。

刪除假設

如今，數據中心的安全性充滿了假設。假設如果有人擁有訪問網絡的憑據，那么網絡應該信任該用戶。但是當這些憑據被盜時會發(fā)生什么?在這種情況下，這種假設就會打開潘多拉的盒子，隨著威脅的不斷發(fā)展和多租戶環(huán)境變得越來越復雜，安全環(huán)境實際上變得越來越糟。

因此，人們必須完全從安全思維中刪除假設。在零信任模型中，基于每個租戶、每個應用程序或每個工作負載分配訪問權限。為此，即使用戶的憑據被盜，他們也無法自由訪問網絡的所有部分，而只能看到為他們定義的那些資源。此外，在零信任模型中，人們不斷評估用戶的數字身份，因此如果識別出異常行為，系統(tǒng)可以快速移動以改變訪問或減輕潛在問題。

提高數據中心的靈活性

數據中心是一個極其復雜的網絡，其工作負載在許多不同的環(huán)境(私有云、公共云、混合云)，并且每個租戶都可以訪問資源。這種復雜性使得簡單的外圍防御能夠從投資和實施的角度讓網絡管理員更加關注。然而，正是這種簡單性使數據中心面臨危險，并使其在資源配置方面保持僵化。

零信任模型的一個附帶好處是它為網絡管理員提供的靈活性。由于可以基于每個租戶、每個應用程序和/或每個工作負載分配訪問權限，因此人們可以更好地了解系統(tǒng)資源的使用方式。人們可以根據所定義的各個訪問規(guī)則分配所需的資源，而不必將所有用戶的資源用于整個網絡。事實上，某些訪問甚至不需要網絡規(guī)定，可以定義為點對點，從而釋放更多寶貴的網絡資源。

防火墻的消亡

實際上，零信任安全模型需要非常精細的精度級別，其中每個端點、物聯(lián)網設備、用戶等都使用自己的訪問控制進行定義。在很長一段時間內，這種復雜性使得零信任安全更像是一個夢想而不是現實，因為沒有什么能夠協(xié)調這種復雜性。更不用說沒有人可以刪除防火墻并在真空中運行。然而，隨著人工智能和機器學習的進步，現在可以在軟件級別協(xié)調零信任網絡。人工智能能夠根據具體情況檢查行為，并立即對任何異常行為進行標記或采取行動。這最終意味著，隨著零信任在當前防火墻之后被廣泛實施，數據中心管理人員將意識到防火墻是多余的，因此它將不復存在。

確實，最后的轉變可能還需要幾年時間，但現在通過實施零信任系統(tǒng)和政策，數據中心可以開始實現安全性和靈活性的好處，同時為不可避免的模式轉變做好準備。更不用說這些數據中心將受到更好的保護，免受當今越來越普遍的代價高昂且日益加強的網絡攻擊。這種轉變需要持續(xù)的投資，不會在一夜之間完成，但所獲得的好處將是長期和深遠的。