隨著遠程混合辦公、自帶設備（BYOD）和基于云計算的基礎設施等數字企業趨勢帶動了設備和用戶與企業網絡交互方式的發展，也帶動了網絡安全的發展。

如今，零信任是網絡安全領域的熱門話題。零信任經常被解讀為采用了高摩擦策略，比如持續的重新認證提示和自動注銷，這些都會給用戶體驗帶來使用障礙、時間花費和挫敗感。但利用零信任原則并不一定意味著將用戶置于一個花在嘗試訪問數字資源的時間與花在使用數字資源的時間一樣多的境地。

在這篇文章中，我們澄清了關于零信任的困惑，并探討了一個成熟的網絡安全團隊如何構建一個零信任系統，以確保用戶和數據的安全，并保持無縫的用戶體驗。

什么是零信任？

在評估如何最好地利用零信任原則之前，我們需要再一次定義它。根據零信任架構文件，零信任是一種持續驗證的網絡安全框架，將“防御從基于網絡的靜態邊界轉移到關注用戶、資產和資源”。

零信任安全策略采用永不信任，始終驗證的方法，在用戶和數據訪問網絡時持續跟蹤他們，以替代允許用戶在其設備通過身份驗證（如信任但還未認證）時就訪問整個網絡，或信任任一可以通過防火墻（如邊界安全）的設備。

零信任當前的作用

典型的零信任策略層疊了持續身份驗證和加密技術 ，當數據在整個網絡中移動時保護數據，從而創建上述高摩擦環境。

多因素身份驗證（MFA）等技術用以限制訪問和授權，而加密技術則在數據通過網絡之前和期間對其進行加密。

雖然這些都是保護性的措施，但這些策略有很大的缺點需要考慮。

使用 MFA 、持續的重新登錄提示

和頻繁的超時來進行持續驗證

這些策略會對企業用戶體驗產生不利影響。身份驗證會減慢用戶的工作速度，并迫使他們讓設備始終可用。當單個用戶使用多個設備（手機、筆記本電腦或平板電腦）時，這些摩擦會成倍增加，這在當今的工作場所中越來越普遍。

最令人擔憂的是，所有這些努力都可能導致“身份驗證疲勞”，用戶被要求進行大量身份驗證，以至于他們不再關注通知。這本身就是一個重大的安全漏洞，增加了違規的可能性。

始終加密所有內容

這種策略冒著過時的風險過度依賴有用的安全層。正如我們所知，計算技術的進步已經有可能破壞或嚴重限制加密。

此外，當您認為加密僅只是密鑰安全時，世界立法機構有能力通過強制后門進入端到端加密系統的能力增加了破壞加密并開辟了攻擊途徑的可能性。這可能會使組織幾乎像加密之前一樣容易受到攻擊。

為了實現零信任的真正潛力，需要對這些原則進行更全面、更廣泛和可持續的解讀。

全面零信任

其核心是有效的零信任策略可實現積極的用戶體驗，同時確保高級別的安全性。使用分析與自動化技術來監控網絡中可疑行為，并對其采取措施有助于減少摩擦。

以下組件是啟用基于零信任原則的綜合安全架構的關鍵：

為了確保強大的身份驗證功能， 應通過自動收集用戶行為數據來持續監控網絡 。這些數據構成了可分析和處理的信息的實時基礎，用可操作的信息代替重復的身份驗證請求。

為了建立訪問協議，網絡架構師應該構建用戶行為分析（UBA），它可以根據數據使用多個變量作為上下文線索，并使用 AI 進行學習，以便對可疑活動作出更好、更快地判斷。這有助于避免系統設計中的繁瑣規則，并將身份驗證請求定位為有針對性的訪問工具，而不是默認設置。

通過環境中的分布式計算來實現 UBA 的承諾，利用日志設備、網卡、計算節點和存儲節點來加速分析功能。

為了在出現數據泄露時保護數據，應構建系統在整個數據中心網絡架構中進行防御，而不是專注于邊界。網絡架構通常側重于防止惡意行為者離開網絡，但這與“邊界安全”相反。限制網絡內部的橫向移動同樣重要。

加密可以有所幫助，但需要在主要策略中納入更大的架構網絡調整，以及手段改變和添加。這種方法將使更多數量級的數據需要被收集、分析和包含在自動化安全系統中。

這些策略旨在根據企業的需求進行擴展和發展。利用現有基礎設施進行大規模數據收集、分析和處理的前景聽起來可能令人望而生畏。為了支持這項工作，NVIDIA 零信任網絡安全平臺結合了三種技術 —— NVIDIA BlueField DPU 、NVIDIA DOCA 和 NVIDIA Morpheus 網絡安全 AI 框架，使得開發合作伙伴能夠為數據中心帶來新的安全級別。

總結

NVIDIA 零信任平臺帶來了加速計算和深度學習的能力，可以持續監控和檢測威脅，并將應用程序與基礎設施隔離，以限制橫向入侵，其速度比沒有 NVIDIA 加速的服務器快 600 倍。借助這種基礎設施、強大的數據管理和人工智能技術，在下一代網絡安全中可以實現零信任的承諾。