确保关键基础设施安全：零信任模型的必要性

关键要点

关键基础设施，如电力系统、水供应、运输与供应链，是网络攻击的主要目标。传统的边界安全模型已经不再适用，零信任模型成为提高安全性的关键。零信任模型可以和多层防御DiD结合使用，而不是相互排斥。“网络网格”架构允许在现有设备上实施零信任，而无需全面改造。

关键基础设施，包括电力系统和水供应，乃至运输和供应链操作，都成为网络攻击的主要目标。这些系统由于其分布式特性而相对脆弱，同时由于其复杂性，安全措施难以落地。操作技术OT和工业控制系统ICS通常缺乏内建的安全控制，且需要通过多个网络连接，并远程访问实际资产。一旦成功渗透，将可能导致停机、声誉损害、环境破坏，甚至人命损失。

简化运营技术系统的零信任部署

面对这些挑战，许多组织的网络安全领导者开始采纳零信任模型。事实上，100 的 OT 网络安全领导者有意愿采用零信任。然而，关于零信任的存在一些长期以来的误解，使得实践者倍感困扰。其中包括不能将零信任与其他保护层结合，以及必须完全更换现有设备等看法。尽管这些担忧看似合理，但得益于网络安全的创新，这些误解可以被消除。

零信任与多层防御

零信任模型，由前Forrester分析师约翰金德瓦格John Kindervag提出，仅在经过验证的身份基础上，允许访问完成特定任务所需的数据、资产、设备和系统。虽然联邦机构如网络安全和基础设施安全局CISA以及运输安全管理局TSA在安全指导方针中关注零信任策略，但在零信任实施上仍有许多困惑。

今天，传统的基于边界的安全模型如城堡和护城河变得不再适用，尤其是在信息技术IT与操作技术OT相结合的环境中。在零信任出现之前，多层防御DiD策略用于增强边界安全，这意味着通过防火墙和跳转箱等工具构建更多的保护层。人们普遍认同层级越多，保护越强。然而，恶意行为者仍能够入侵并在不同区域内横向扩散，这引发了对零信任的更高关注。

重要误解之一：零信任与多层防御的结合

第一个我们需要消除的误解是：组织不能在采用零信任的同时保留多层防御。一些安全领导者认为需要删除安全层才能采用零信任。他们明白零信任提供基于身份的安全认证、授权和细粒度访问控制，但他们担心如果零信任失败例如黑客入侵一条密码和账户，将缺乏后备保护。最具弹性的网络安全方法是将零信任与DiD结合使用。此外，我们可以在现有网络架构和设备上同时启用零信任和DiD。

例如，电力发电涡轮资产被攻击可能导致电力短缺与广泛的干扰。当前资产协议包括DNP3、Modbus等，这些协议缺乏内建的访问控制。零信任方法可以消除与资产之间的不必要互动，仅允许授权用户和应用访问。同时，将这些资产暴露在一个扁平的网络中是有风险的。在实施零信任与多层防御的过程中，需要一种多层方法，在跨越层或区域边界时独立确认用户或资产的身份。基本上，资产的价值越高，所需的防御层越多，这可以包括：

分层身份验证，包括多层多因素认证MFA，以缩小身份被攻破的风险。分层协议和会话中断，以保护不安全的协议。分层过滤以减少不必要的网络流量，这可能限制关键操作的带宽。端到端消息完整性和真实性验证，以防止伪造和注入。