零信任安全的兴起：金融行业的关键策略

关键要点

• 零信任概念在金融行业日益流行，强调最小权限访问以提高安全性和合规性。
• 随着对网络安全的依赖增加，越来越多企业采用动态控制以保护敏感数据。
• 零信任安全模型基于安全的点对点通信和持续授权。
• 大型咨询公司德勤推出了零信任访问管理服务，旨在保护企业资源。

近年来，零信任访问正在各大行业迅速普及，尤其是在金融服务领域。保护敏感数据并强制执行“最小权限”访问信息资产策略对于安全和合规至关重要。

在近期，零信任访问成为了一个热门的安全术语，企业被鼓励实施更动态的资产管理控制，严格限制访问特定信息，尤其是最敏感的数据，并利用管理服务来降低网络安全成本和技术支持的高开销。

零信任原则“基于安全的点对点(P2P)通信、条件访问和持续授权，以及针对静态、使用中和传输中的数据的一致数据保护”的观点，德勤的最新发布强调了这一点。这一原则适用于每个访问会话，无论所访问的应用程序类型或位置如何，包括传统的托管应用程序、软件即服务(SaaS)、厚客户端和基于网页的应用程序。

本周，德勤推出了自己的零信任访问管理服务，从而提供“一种云原生的方法来保护用户之间的通信，无论他们使用何种设备及其企业应用程序的位置”，德勤表示。“通过利用设备级安全微容器技术来创新数据保护，零信任访问有助于保护基础设施，同时也允许组织保护敏感的企业数据，”德勤的公告中指出，“并通过动态访问控制来执行最小权限规则。”

德勤风险与财务咨询的零信任业务负责人安德鲁·拉夫拉指出，零信任概念在所有行业中逐渐受到关注，尤其是在金融服务领域，他补充说：“一些在金融服务行业特有的业务驱动因素包括对网络韧性关注度的提升、日益复杂的高度连接的IT生态系统、云采用的加速以及数字转型的推动、并购活动的展开，以及数据隐私和地理特定数据主权的日益监管。”

零信任通过“消除信息技术(IT)生态系统内的隐性信任，采用基于风险的方式来访问组织资源”来减少许多潜在的监管和网络安全问题。德勤指出：“这一趋势正在快速发展，因为传统的安全架构已经无法满足现代企业普遍存在的安全需求。”

拉夫拉进一步指出，以往保障组织IT生态系统安全的方式是依赖于在组织的物理和逻辑边界上叠加一系列安全控制措施。
“当组织的IT系统、数据和员工全部集中在数据中心和办公空间内时，这种方式或许是合适的。”

然而，许多金融机构如今并不再将所有资产和应用程序托管在企业拥有的数据中心内，而是采用混合环境，利用 来托管应用程序，并逐渐采用软件即服务(SaaS)和平台即服务(PaaS)解决方案，以及日益流动和混合的工作团队。

“最终，零信任概念为组织的变化提供了一种灵活且动态的安全基础，能够应对现代商业、工作和技术趋势所带来的挑战，”拉夫拉增加说。

考虑到需要管理众多第三方关系，零信任为金融机构提供了一种“现代化的连通性安全方法”，特别是对于管理服务提供商和其他第三方。拉夫拉解释说：“核心原则是‘永不信任，总是验证’每个连接请求，仅在源被验证、授权并有权访问其目标后，才授予对企业资源的访问权限。”

“采纳现代的零信任能力有助于金融机构执行最小权限的理念，确保第三方仅获得必要的企业资产访问，而不会多于此，”他补充道。“这些现代化的控制措施还应支持动态和持续的授权，以便在每次连接尝试的开始和连接会话过程中进行检验和验证。”