零信任网络及其对视频监控的影响

By Wayne Dorris | 02月 9日, 2024 01月 26日, 2022 | 网络安全 0 comments

因特网变得越来越脆弱，日益复杂与众多的网络攻击，加上网络联机装置以指数性的增长，都造成另一个网络端点易遭受到攻击。这也表示公司组织正为网络安全保障，面临着永无止境的战争。

从历史上看，公司组织一直依赖的策略是确保企业防火墙尽可能强大。尽管这种方法目的在于确保存取网络的安全性，但只要有人能够突破防火墙，他们便可以在网络内自由地行动。一旦进入网络，数据遗失将造成潜在不可弥补的实际损失风险，然而不良行为者在被发现之前（如果发生的话）可能已活跃数周或数个月。

此外，在防火墙内隔离网络的观念已经过时。同样地，大量装置连接到网络的同时，也代表透过单一解决方案保护网络外围并不可行。在网络外使用云端服务以及建立更具「渗透性」的网络边界，可让客户与供货商系统间无缝联机并且提高供应链效率，却如此改变了网络安全的本质。

不信任网络上的任何人事物

后来，出现了「零信任」的概念，随之而来的是零信任网络及架构。顾名思义，零信任网络中的默认立场是，不管是连上网络或在网络内部的任何实体－无论是人还是机器、无论位于何处、无论是否正在联机－都无法信任。

相反地，零信任网络的首要哲学是「永不信任，永远验证」。其根据在网络中存取特定数据的行为与敏感性，透过多种不同方式来要求正在存取网络或在网络内部的任何实体，进行多次身分验证。实质上，就是授予实体以可完成任务所需的最低存取量。

零信任采用了以下技术：网络微分割－对于网络中包含较重要数据的特定部分，采取不同等级的安全性－以及根据用户与装置、其实体位置及其他验证数据的微型网络外围安全性措施，来决定是否可信任其凭证以存取网络。

仅允许个人存取网络的某部分以及执行任务所需的数据，具有明显的安全优势。但是，与验证有关的异常行为会带来更高等级的安全性层级。

举例来说，网络管理员可能拥有广泛的网络访问权限用以维护，如存取 R&D 或财务服务器的权限。但是，倘若那些相同的凭证被使用来在深夜时分下载特定文件或数据，并将其传送到网络外部，将会导致安全性的危险信号。这些可能是安全凭证被盗、员工心怀不满或希望透过公司间谍活动获得好处的人。

在零信任网络中，可以采用其他身分验证，或者至少可以实时标记异常活动，来引起安全作业中心的注意以便进行调查。

定义及运作规则

零信任网络的核心是规则引擎：大体而言，组织可以建立、监控软件并执行有关如何存取网络资源及组织数据的规则。

规则引擎将结合网络分析及编程的规则，根据许多因素来授予角色权限。简而言之，规则引擎将比较每一个存取网络的请求及其规则脉络，然后通知监督者是否允许该请求。

在零信任网络中，规则引擎定义并实施数据安全并在托管机型、位置、用户与装置间存取规则，针对重要安全控制措施，例如新一代防火墙 (NGFW)、电子邮件和云端安全网关以及数据遗失防护 (DLP) 软件，要求公司组织谨慎地定义规则与策略。

这些控制措施结合在一起，可在托管机型与位置之外进行网络微分割。尽管目前可能有必要在每一个解决方案的管理控制台中设置规则，但整合度越来越高的控制台可以自动定义并跨产品更新规则。

身分及存取管理 (IAM)、多重因素验证、推送通知、档权限、加密及安全编排都在零信任网络架构的设计中发挥作用。

零信任网络对视频监控的影响

当然，联机到网络的实体包含人员，但是在如今越来越多联机数量的情况下，大多数的网络联机来自装置。这包含网络监控摄像机及相关网络联机装置，随着公司组织朝着零信任网络架构迈进，这些网络装置必须遵守验证所需的准则。如果设计用来维护组织实体安全的装置引发了网络安全漏洞，将会是个讽刺。

同样地，传统形式的装置安全性已不足。不良行为者已能够窃取员工的存取凭证，并破坏装置的安全凭证。在零信任网络中，装置需要新方法来证明其网络信任度。

验证硬件装置的身分

区块链技术是一项可为联机硬件装置提供固定信任来源的科技。尽管对于许多区块链来说，其与加密货币紧密连结，并且可能因而恶名远播。但是，区块链本身是一种开放的、分布式的分类账，可以有效、可验证、永久的方式来记录双方之间的交易。有公共和私有区块链，而企业可以利用私有区块链作为硬件的信任来源，在装置内建立固定的信任密钥。

基于区块链的本身结构，如果所有先前交易的共识节点未达成一致，链中的任何数据交易都无法更改，所有的交易都是透过密码链接。因此，如果硬件装置可识别部分的信任密钥内建于区块链，装置本身将可获得固定的凭证。