Veeam：步履不停的零信任之路

cls_2003

随着网络攻击变得越来越复杂，IT系统也越来越复杂，零信任架构成为了安全领域的热门话题。不过，零信任并不是一个新的提法，它是一个多年来一直存在的原则的延续。让我们来探索零信任的历史和挑战，安全备份的关键作用，以及为什么这样的项目永远不会真正结束。

零信任：新概念，旧原则

       如果您关注行业新闻，会发现最近几个月有许多围绕着零信任的讨论。网络攻击，特别是勒索软件攻击，正变得越来越强大，也越来越频繁。数字基础设施变得更加复杂，这意味着跨 IT 和 OT 网络、公共云以及无数各方之间的更多接入点和集成。

       这两个因素意味着越来越多的组织正在寻求实施零信任架构。简单地说，就是一个从上到下都安全的系统，不仅仅是针对外部，而且永远不会信任并总是验证内部访问请求。

       事实上，零信任并不是一个新的提法。我在数据存储领域工作了20多年，即使在早期的时候，建立系统或组件以使彼此“相互怀疑”的做法也很常见。零信任是这个想法的延续，但就像数字领域的其他许多事情一样，它的规模和复杂性已经达到了新的水平。

       人们经常误解的关于零信任的另一件事是，它不是您可以购买并直接插入现有架构的一个产品。零信任是一种文化，它是组织和系统本身的一次彻底的思维方式的改变，并由一连串相互交织的产品支持。这种对思维方式的关注是至关重要的。您不能只是在实施后就忘记了它，您需要不断地重新评估它并将其应用于您所做的一切。

9f952503e41cfd1c0ee6f19da91a2dbe.jpg (15.66 KB, 下载次数: 10)

无
2022-9-15 10:00 上传

谷歌趋势: “零信任”的使用随着时间的变化

备份和恢复是零信任中的必要条件

       零信任架构的两个核心原则是：持续验证以及始终假设有漏洞的存在，这意味着系统内部的安全需要和外部的安全一样强大。其中一个没有被充分讨论的元素是备份和灾难恢复。零信任是一种分层策略，即您在设计架构时假设流量是恶意的，设备和基础设施可能被破坏，关键数据始终处于风险之中。但这个策略的底层才是最重要的，当其他所有的保护层都失败了，您将需要一个核心的安全装置来恢复您的数据，从而让系统尽快恢复运行。

       在数据保护中有一条黄金法则，即“3-2-1”备份原则。它指出，当您备份数据时，应该有三个数据副本，在两个不同的媒介上，且其中一个是异地的。这条规则在20年前就被推广并且至今仍然适用。作为Veeam的核心原则，我们在此基础上构建了一条规则，使其在现代零信任架构中可行。“3-2-1-1-0”原则可能没有那么让人眼前一亮，但它对于高级备份以真正抵御一切威胁来说至关重要。该原则的新增内容包括一份离线的、隔离的或不可变的备份数据副本，以及确保零错误的数据恢复验证，但现在我想重点讨论的是前者。

       像勒索软件这样的现代威胁非常复杂，它们活动频繁，将系统备份作为其攻击的一部分。在最近的Veeam勒索软件趋势报告中，Veeam发现94%的勒索软件针对备份库进行攻击，并且其中68%的攻击是成功的。一个真正的零信任策略需要考虑到这一点，并在适当的地方进行备份，要么是离线的、隔离的、或不可篡改的备份，更好的是三者皆有，以建立坚固的数据保护装置。

永无止境的挑战

       在整个组织中实施零信任并不是一项简单的任务。构建一个真正的零信任架构涉及许多挑战，首先是获得支持。采用零信任需要团结一致的努力和从上到下的思维方式的变化，它需要被领导层、管理者和用户所接受和理解。高级决策者需要理解它的价值并分配足够的资金，管理者需要接受它并进行相关的培训，而用户必须真正理解并遵守新的政策。即使零信任能力初步得到实施之后，您还需要确保整个组织的跟进，而不是抱有“一劳永逸”的心态。

       另一个挑战是组织不断变化的威胁环境。虽然这不是零信任的独有问题因为这种架构相当常见（任何安全团队都必须监控新的风险），安全团队需要评估任何被加入到生态系统的新元素，并经常修改它们以遵循零信任的原则。扩展威胁的示例可以包括从自带设备策略到开源软件的任何内容。

       开源软件是一种宝贵的工具，但在遵循零信任原则时，它确实存在一些问题。一个臭名昭著的例子是在Log4J中发现了 “地方流行病漏洞”，它暴露了许多组织。这并不是说在使用零信任的同时不可能使用开源，只是此类程序需要正确地捆绑和包装从而隔离漏洞。以Veeam为例，我们甚至有一些使用了Log4J的产品，但它作为我们架构的一部分，被内置了一些修改，这意味着漏洞被隔离或删除了。

       这体现了零信任面临的一个更大的挑战，也是战略成败的关键，即不断重新评估架构。零信任之旅从未真正结束，要想真正成功，您需要让它成为您文化的一部分。这意味着不仅要将它应用于您所做的一切，而且要确保它是您今后一切工作的基础。我经常把它比作日常锻炼，如果您只做一次，那什么都不会改变，如果您做了一段时间，然后就完全停下来，那您的成果将会倒退，直到您回到最初的水平。不断重新评估您的安全性，并尽可能地推动这种思维方式，这一点至关重要。在现实中，大多数 “零信任”架构可能是0.3%或0.5%的信任。因此，通往真正的“零”的旅程还需继续。

回归基本

       在现代环境中，零信任正成为保护企业和系统安全免受不断变化的威胁的必要条件。然而，企业不应对实施这种战略所需的投入掉以轻心，因为真正要采用和建立一个零信任的架构和文化，需要整个组织的投入。零信任是一个持续的过程，不过如果您从一个现代数据保护策略开始（包括安全备份和强大的灾难恢复），并以此为基础进行构建，您将永远有可依靠的后盾。

taihaifeng88

楼主福如东海，万寿无疆！

icecavalier

我想要`~