如何使用PKI实现零信任安全

的概念零信任是一种安全模型，其中所有用户和设备都被视为不值得信任，即使他们已经在网络中。零信任(Zero Trust)一词来自弗雷斯特研究公司(Forrester Research)，基于他们在2010年发布的一个安全模型，该模型挑战了当时只防御网络外围的规范，并质疑了“网络内部的任何东西都不是威胁”的假设。这个概念在IT安全社区中获得了支持，特别是随着远程工作的普及，现在在企业中被广泛采用。

从哪里开始实现零信任

为了有效地实施零信任安全策略，组织需要有适当的安全基础设施。由于零信任的整个概念围绕可信身份展开，因此实现的一个关键支柱是广泛部署传输层安全(TLS)，以在整个组织中建立可信设备身份。TLS依赖于数字证书验证服务器的身份，并促进服务器和客户端之间加密密钥的机密交换。这些数字证书提供了一种加密安全和可验证的方法，可以在网络中为机器对机器(M2M)通信启用身份验证和加密，而不管其位置如何。

当一个组织拥有一个私有公钥基础设施(PKI)时，他们就有一个内部证书颁发机构(CA)，它为这些证书添加了一个额外的信任层。组织可以自定义其PKI层次结构，以满足其特定的零信任用例。

以下是由内部CA颁发的数字证书可以保护的一些内容:

• 网络设备—确保网络完整性非常简单，只需为路由器和网络交换机实施数字证书，在设备之间创建认证链，防止模仿攻击
• 智能手机、平板电脑和其他移动设备—在移动设备上实现证书，可以防止非法设备或粗心用户未经授权访问企业网络和资源，同时提供无缝认证可信设备的方式
• Web和应用服务器-在内部和面向外部的web服务器和负载均衡器上安装可信的TLS/SSL证书可以增强网络完整性。它关闭了网络攻击的频繁目标，也为客户和其他网站访问者提供了额外的安全保障
• Windows / Mac工作站-为连接到网络的每台计算机提供密钥，可确保受信任的用户是唯一的用户
• 网络访问-通过不需要密码的证书策略简化和保护Wi-Fi和VPN访问，使网络更安全，同时提高易用性
• 物联网生态系统—将证书分配给所有连接的设备，确保只有授权的设备才能访问您的网络，最大限度地降低泄露的风险。使用PKI可以为组织引入可信物联网

零信任安全需要坚实的PKI基础

拥有正确的私有PKI基础对于零信任安全至关重要，因为它允许您建立可信的机器标识并加密整个组织中的M2M通信。然而,这些数字证书的生命周期近年来一直在萎缩。为了减轻每年成百上千次证书更新的负担，许多企业已经开始通过采用交付的解决方案将管理私有PKI的复杂性外包出去管理PKI-as-a-service(PKIaaS)。

数字证书管理平台可以立即注册、批准、颁发、撤销和更新您的所有证书。这不仅有助于公司实施强大的零信任安全策略，而且还简化了运营并降低了成本。

欲进一步了解我们可扩展的基于云的PKIaaS解决方案，以及它如何帮助企业支持零信任安全策略，阅读我们的白皮书或和我们的专家谈谈吧．

Mrugesh Chandarana是HID Global身份和访问管理解决方案的高级产品经理，他专注于物联网和PKI解决方案。金宝搏官网188金宝搏他在风险管理、威胁和漏洞管理、应用安全和PKI等领域拥有十多年的网络安全行业经验。他曾在RiskSense、WhiteHat Security(被NTT Security收购)和RiskVision(被Resolver, Inc.收购)担任产品管理职位。