傳統(tǒng)上，數(shù)據(jù)中心安全性是圍繞防火墻和其他基于周邊設(shè)備的防御而建立的，這些防御措施專注于防御危險的外部力量。但是，當(dāng)具有正確憑據(jù)的用戶進(jìn)入外圍防御體系時，該體系結(jié)構(gòu)隱含著對他們的信任，而一旦進(jìn)入，就很難阻止用戶的不良行為。因此，真正保護(hù)數(shù)據(jù)和工作負(fù)載最好的方法是采用一種不信任的模型。這種零信任安全架構(gòu)正在改變數(shù)據(jù)中心的游戲規(guī)則。通過了解其一些主要優(yōu)勢，人們可以更好地保護(hù)最關(guān)鍵的組織資產(chǎn)。

刪除假設(shè)

如今，數(shù)據(jù)中心的安全性充滿了假設(shè)。假設(shè)如果有人擁有訪問網(wǎng)絡(luò)的憑據(jù)，那么網(wǎng)絡(luò)應(yīng)該信任該用戶。但是當(dāng)這些憑據(jù)被盜時會發(fā)生什么?在這種情況下，這種假設(shè)就會打開潘多拉的盒子，隨著威脅的不斷發(fā)展和多租戶環(huán)境變得越來越復(fù)雜，安全環(huán)境實際上變得越來越糟。

因此，人們必須完全從安全思維中刪除假設(shè)。在零信任模型中，基于每個租戶、每個應(yīng)用程序或每個工作負(fù)載分配訪問權(quán)限。為此，即使用戶的憑據(jù)被盜，他們也無法自由訪問網(wǎng)絡(luò)的所有部分，而只能看到為他們定義的那些資源。此外，在零信任模型中，人們不斷評估用戶的數(shù)字身份，因此如果識別出異常行為，系統(tǒng)可以快速移動以改變訪問或減輕潛在問題。

提高數(shù)據(jù)中心的靈活性

數(shù)據(jù)中心是一個極其復(fù)雜的網(wǎng)絡(luò)，其工作負(fù)載在許多不同的環(huán)境(私有云、公共云、混合云)，并且每個租戶都可以訪問資源。這種復(fù)雜性使得簡單的外圍防御能夠從投資和實施的角度讓網(wǎng)絡(luò)管理員更加關(guān)注。然而，正是這種簡單性使數(shù)據(jù)中心面臨危險，并使其在資源配置方面保持僵化。

零信任模型的一個附帶好處是它為網(wǎng)絡(luò)管理員提供的靈活性。由于可以基于每個租戶、每個應(yīng)用程序和/或每個工作負(fù)載分配訪問權(quán)限，因此人們可以更好地了解系統(tǒng)資源的使用方式。人們可以根據(jù)所定義的各個訪問規(guī)則分配所需的資源，而不必將所有用戶的資源用于整個網(wǎng)絡(luò)。事實上，某些訪問甚至不需要網(wǎng)絡(luò)規(guī)定，可以定義為點對點，從而釋放更多寶貴的網(wǎng)絡(luò)資源。

防火墻的消亡

實際上，零信任安全模型需要非常精細(xì)的精度級別，其中每個端點、物聯(lián)網(wǎng)設(shè)備、用戶等都使用自己的訪問控制進(jìn)行定義。在很長一段時間內(nèi)，這種復(fù)雜性使得零信任安全更像是一個夢想而不是現(xiàn)實，因為沒有什么能夠協(xié)調(diào)這種復(fù)雜性。更不用說沒有人可以刪除防火墻并在真空中運行。然而，隨著人工智能和機(jī)器學(xué)習(xí)的進(jìn)步，現(xiàn)在可以在軟件級別協(xié)調(diào)零信任網(wǎng)絡(luò)。人工智能能夠根據(jù)具體情況檢查行為，并立即對任何異常行為進(jìn)行標(biāo)記或采取行動。這最終意味著，隨著零信任在當(dāng)前防火墻之后被廣泛實施，數(shù)據(jù)中心管理人員將意識到防火墻是多余的，因此它將不復(fù)存在。

確實，最后的轉(zhuǎn)變可能還需要幾年時間，但現(xiàn)在通過實施零信任系統(tǒng)和政策，數(shù)據(jù)中心可以開始實現(xiàn)安全性和靈活性的好處，同時為不可避免的模式轉(zhuǎn)變做好準(zhǔn)備。更不用說這些數(shù)據(jù)中心將受到更好的保護(hù)，免受當(dāng)今越來越普遍的代價高昂且日益加強的網(wǎng)絡(luò)攻擊。這種轉(zhuǎn)變需要持續(xù)的投資，不會在一夜之間完成，但所獲得的好處將是長期和深遠(yuǎn)的。