1、零信任（Zero Trust，縮寫ZT）代表著業(yè)界正在演進(jìn)的網(wǎng)絡(luò)安全最佳實(shí)踐，它將網(wǎng)絡(luò)防御的重心從靜態(tài)的網(wǎng)絡(luò)邊界轉(zhuǎn)移到了用戶、設(shè)備和資源上。

　　2、零信任安全模型假設(shè)網(wǎng)絡(luò)上已經(jīng)存在攻擊者，并且企業(yè)自有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（內(nèi)網(wǎng)）與其他網(wǎng)絡(luò)（比如公網(wǎng)）沒(méi)有任何不同，不再默認(rèn)內(nèi)網(wǎng)是可信的。

　　3、零信任架構(gòu)（ZTA）的宗旨是減少對(duì)攻擊者的資源暴露，并在主機(jī)系統(tǒng)被攻陷時(shí)，最小化（或防止）攻擊在企業(yè)內(nèi)部的橫向擴(kuò)展。

　　4、零信任的重心在于保護(hù)資源，而不是網(wǎng)段，因?yàn)榫W(wǎng)絡(luò)位置不再被視為資源安全與否的主要依據(jù)。

　　5、根據(jù)該零信任原則，ZTA 環(huán)境不再包含對(duì)系統(tǒng)和用戶隱含的信任，該信任與物理或網(wǎng)絡(luò)位置（例如：局域網(wǎng)或互聯(lián)網(wǎng)）無(wú)關(guān)。因此在用戶和設(shè)備通過(guò)可靠的身份驗(yàn)證和授權(quán)進(jìn)行徹底地驗(yàn)證之前，ZTA 不會(huì)授予其對(duì)資源的訪問(wèn)權(quán)限。

　　6、NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）認(rèn)為——向零信任架構(gòu)的轉(zhuǎn)型是漫長(zhǎng)的旅程，而不是簡(jiǎn)單的置換企業(yè)現(xiàn)有基礎(chǔ)設(shè)施，預(yù)計(jì)大部分企業(yè)將以混合模式（即零信任模式與傳統(tǒng)模式）運(yùn)作很長(zhǎng)時(shí)間。

　　7、零信任模式并不是一個(gè)單一的網(wǎng)絡(luò)架構(gòu)或技術(shù)產(chǎn)品，它是一套理念、戰(zhàn)略、架構(gòu)。與一個(gè)組織如何評(píng)估其目標(biāo)的風(fēng)險(xiǎn)相關(guān)。許多組織已經(jīng)在企業(yè)基礎(chǔ)架構(gòu)中擁有部分零信任元素。

　　8、基于邊界防御的網(wǎng)絡(luò)安全控制已顯示出明顯的不足，一旦攻擊者突破了邊界，進(jìn)一步的橫向攻擊將不受阻礙。

　　9、零信任側(cè)重?cái)?shù)據(jù)的保護(hù)。在零信任狀態(tài)下，這些保護(hù)通常涉及對(duì)資源（例如數(shù)據(jù)、計(jì)算資源和應(yīng)用程序）的最小化授權(quán)訪問(wèn)，僅提供給那些被識(shí)別為需要訪問(wèn)的用戶和資產(chǎn)，并且對(duì)于每個(gè)訪問(wèn)請(qǐng)求持續(xù)進(jìn)行身份和權(quán)限的驗(yàn)證。

　　10、零信任的概念早在“零信任”一詞出現(xiàn)以前就一直存在于網(wǎng)絡(luò)安全領(lǐng)域之中。國(guó)防信息系統(tǒng)局（DISA）和國(guó)防部（DoD）最早發(fā)布了他們的更安全的企業(yè)戰(zhàn)略研究工作，稱為“黑核”（BCORE）。

　　11、“零信任”概念最早是由約翰·金德瓦格（John Kindervag）在 Forrester 報(bào)告中提出的。

　　12、零信任的前提是信任從來(lái)不應(yīng)該被隱式授予，而是必須進(jìn)行持續(xù)地評(píng)估。

　　13、零信任是一種端到端的網(wǎng)絡(luò)安全架構(gòu)，包括身份、證書、訪問(wèn)管理、操作、終端、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施等因素。

　　14、零信任允許授權(quán)主體（用戶、應(yīng)用、和設(shè)備的組合）的訪問(wèn)，同時(shí)消除其他所有主體（例如，攻擊者）對(duì)數(shù)據(jù)和服務(wù)的非授權(quán)訪問(wèn)。

　　15、所有數(shù)據(jù)源和計(jì)算服務(wù)均被視為資源。

　　16、無(wú)論網(wǎng)絡(luò)位置如何，所有通信應(yīng)以最安全的方式進(jìn)行，保證機(jī)密性和完整性，并提供源身份認(rèn)證。

　　17、對(duì)企業(yè)資源的訪問(wèn)授權(quán)是基于每個(gè)連接的。每個(gè)連接都對(duì)請(qǐng)求者的信任進(jìn)行評(píng)估。

　　18、對(duì)資源的訪問(wèn)權(quán)限由動(dòng)態(tài)策略決定，包括客戶身份、應(yīng)用、用戶行為屬性、設(shè)備特征（如：已安裝的軟件版本、網(wǎng)絡(luò)位置、請(qǐng)求時(shí)間和日期、以前觀測(cè)到的行為、已安裝的憑證等）。

　　19、行為屬性包括自動(dòng)化的用戶分析、設(shè)備分析、度量到的與已觀測(cè)到的使用模式的偏差。

　　20、零信任策略是一系列基于組織機(jī)構(gòu)分配給用戶、數(shù)據(jù)資產(chǎn)或應(yīng)用的屬性的訪問(wèn)規(guī)則集。

　　21、資源訪問(wèn)和操作權(quán)限策略可以根據(jù)資源/數(shù)據(jù)的敏感性而變化。

　　22、沒(méi)有設(shè)備是天生可信的。企業(yè)需要確保所有設(shè)備處于盡可能最安全的狀態(tài)，并監(jiān)視設(shè)備資產(chǎn)以確保它們保持盡可能最安全的狀態(tài)。具有已知漏洞或不受管控的設(shè)備需要區(qū)別對(duì)待。

　　23、在訪問(wèn)被允許之前，所有資源訪問(wèn)的身份驗(yàn)證和授權(quán)是動(dòng)態(tài)持續(xù)評(píng)估的循環(huán)過(guò)程（如基于時(shí)間的、新的資源請(qǐng)求、檢測(cè)到異常用戶活動(dòng)）。

　　24、整個(gè)用戶交互過(guò)程應(yīng)該持續(xù)地監(jiān)視，根據(jù)策略的定義和執(zhí)行，可能進(jìn)行重新的身份認(rèn)證和重新授權(quán)。

　　25、企業(yè)應(yīng)該收集盡量多關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信當(dāng)前狀態(tài)的信息，并將其應(yīng)用于提高網(wǎng)絡(luò)安全狀況。

　　26、零信任核心組件

　　a. 策略引擎（PE）：負(fù)責(zé)用戶授權(quán)。使用企業(yè)安全策略以及來(lái)自外部信息源（例如 IP 黑名單、威脅情報(bào)服務(wù)）作為“信任算法”（TA）的輸入。

　　b. 策略管理器（PA）：生成客戶端用于訪問(wèn)企業(yè)資源的任何身份驗(yàn)證令牌或憑證。策略引擎（PE）與策略管理器（PA）組件配對(duì)使用。策略引擎做出并記錄決策，策略管理器執(zhí)行決策（批準(zhǔn)或拒絕）。

　　c. 策略執(zhí)行點(diǎn)（PEP）：負(fù)責(zé)啟用、監(jiān)視并最終終止訪問(wèn)主體和企業(yè)資源之間的連接。分為兩個(gè)不同的組件：客戶端（例如，用戶筆記本電腦上的 Agent 代理程序）和資源端（例如，在資源之前部署的訪問(wèn)控制網(wǎng)關(guān)）。

　　27、零信任常見方案之一：基于軟件定義邊界（SDP）的ZTA客戶端安裝agent，用戶希望通過(guò)筆記本電腦連接到一個(gè)特定企業(yè)資源（例如，人力資源應(yīng)用程序/數(shù)據(jù)庫(kù)）。該訪問(wèn)請(qǐng)求由本地代理 Agent接收，然后將請(qǐng)求發(fā)送給策略管理器（PA）。策略管理器 PA 將請(qǐng)求轉(zhuǎn)發(fā)到策略引擎PE 進(jìn)行評(píng)估。如果請(qǐng)求被授權(quán)，則設(shè)備上Agent代理程序與對(duì)應(yīng)的資源網(wǎng)關(guān)Gateway之間配置一個(gè)連接通道。加密的應(yīng)用程序數(shù)據(jù)流開始工作。

　　28、零信任常見方案之二：基于安全區(qū)的部署

　　網(wǎng)關(guān)組件不駐留在某個(gè)資源的前面，而是駐留在資源安全區(qū)（例如，本地?cái)?shù)據(jù)中心）的邊界上。該模型適用于比較陳舊的應(yīng)用程序或者在無(wú)法獨(dú)立部署網(wǎng)關(guān)的本地?cái)?shù)據(jù)中心。缺點(diǎn)是網(wǎng)關(guān)只能保護(hù)一組資源而非每個(gè)獨(dú)立的資源，這將導(dǎo)致訪問(wèn)主體可能會(huì)看到一些他們不該看到的資源。

　　29、零信任常見方案之三：基于資源門戶的ZTA無(wú)需在所有客戶端設(shè)備上安裝軟件組件。但是，來(lái)自訪問(wèn)請(qǐng)求的設(shè)備的信息也會(huì)非常有限。此模型只能在資產(chǎn)和設(shè)備它們連接到 PEP 門戶時(shí)進(jìn)行一次性的掃描和分析，但無(wú)法持續(xù)地進(jìn)行惡意軟件和正確配置的監(jiān)控。

　　30、零信任常見方案之四：設(shè)備應(yīng)用沙箱

　　用戶在設(shè)備上的沙箱中運(yùn)行已批準(zhǔn)和審查過(guò)的應(yīng)用程序。該應(yīng)用程序可以與 PEP 通信以請(qǐng)求訪問(wèn)資源，但 PEP 將拒絕來(lái)自該設(shè)備資產(chǎn)上的其他應(yīng)用程序。獨(dú)立運(yùn)行在沙盒的程序也能免受主機(jī)上潛在的惡意軟件感染。但這種模型有一個(gè)缺點(diǎn)，就是企業(yè)必須為所有設(shè)備資產(chǎn)維護(hù)這些沙盒中應(yīng)用程序。

　　31、信任算法：對(duì)于已經(jīng)部署零信任架構(gòu) ZTA 的企業(yè)，策略引擎 PE 可以看作是大腦，而PE 的信任算法（TA）則是其主要的思維過(guò)程。PE根據(jù)信任算法的得分來(lái)最終授予或拒絕對(duì)資源的訪問(wèn)。

　　32、信任算法的輸入包括：

　　a. 用戶操作系統(tǒng)版本、使用的應(yīng)用程序和補(bǔ)丁級(jí)別等設(shè)備資產(chǎn)安全狀況。

　　b. 用戶的賬號(hào)角色及身份屬性包括時(shí)間和地理位置、過(guò)去觀測(cè)到的用戶行為的數(shù)據(jù)等。

　　c. MFA 網(wǎng)絡(luò)位置（例如，拒絕來(lái)自海外 IP 地址的訪問(wèn)）、數(shù)據(jù)敏感度（有時(shí)稱為“數(shù)據(jù)毒性”）和資產(chǎn)配置。

　　d. 威脅情報(bào)，包括攻擊特征和緩解措施等。

　　33、信任算法的實(shí)現(xiàn)：

　　a. 基于分?jǐn)?shù)：如果得分大于資源的配置閾值，則授予訪問(wèn)權(quán)限或執(zhí)行操作。否則，請(qǐng)求被拒絕。

　　b. 基于上下文：評(píng)估訪問(wèn)請(qǐng)求時(shí)考慮用戶或網(wǎng)絡(luò)代理的最近歷史記錄。當(dāng)攻擊者行為與平常不同時(shí)，攻擊能被檢測(cè)到，觸發(fā)額外的身份驗(yàn)證或者資源請(qǐng)求拒絕。例如，如果一個(gè)機(jī)構(gòu)的人力資源部門的員工通常在一個(gè)典型的工作日訪問(wèn) 20 到 30 個(gè)員工記錄，如果訪問(wèn)請(qǐng)求在一天中突然超過(guò) 100 個(gè)記錄，基于上下文的 TA 可能會(huì)發(fā)送警報(bào)。

　　34、零信任的使用場(chǎng)景之一：分支機(jī)構(gòu)訪問(wèn)總部

　　員工希望從任何工作地點(diǎn)可以方便安全地訪問(wèn)公司資源。外部地區(qū)的員工可能沒(méi)有完全企業(yè)擁有的本地網(wǎng)絡(luò)，但為了執(zhí)行工作任務(wù)仍然需要訪問(wèn)企業(yè)資源。企業(yè)可能希望授予員工日歷、電子郵件等某些資源的訪問(wèn)權(quán)限，但拒絕其訪問(wèn)或限制操作更敏感的資源（例如，人力資源數(shù)據(jù)庫(kù)）。

　　35、零信任的使用場(chǎng)景之二：企業(yè)使用了多個(gè)云提供商

　　應(yīng)用程序托管在與數(shù)據(jù)源分離的云服務(wù)上?？紤]性能和便于管理，云提供商 A 中托管的應(yīng)用程序應(yīng)該能夠直接連接到托管在云提供商 B中的數(shù)據(jù)源，而不應(yīng)強(qiáng)制應(yīng)用程序通過(guò)企業(yè)網(wǎng)絡(luò)連接。

　　36、零信任的使用場(chǎng)景之三：第三方訪客或外包服務(wù)人員的訪問(wèn)

　　企業(yè)有自己的內(nèi)部應(yīng)用程序、數(shù)據(jù)庫(kù)和資產(chǎn)，其中包括外包給供應(yīng)商偶爾需要在現(xiàn)場(chǎng)提供維修的服務(wù)（例如，由外部供應(yīng)商擁有和管理的智能供暖和照明系統(tǒng)，即 HVAC）。這些訪客和服務(wù)提供商需要網(wǎng)絡(luò)連接以執(zhí)行任務(wù)。實(shí)施零信任原則有助于企業(yè)在允許這些設(shè)備和來(lái)訪的技術(shù)人員訪問(wèn)互聯(lián)網(wǎng)的同時(shí)隱藏企業(yè)資源。

　　37、零信任的使用場(chǎng)景之四：跨企業(yè)協(xié)作

　　一個(gè)項(xiàng)目涉及企業(yè) A 和企業(yè) B 的員工。企業(yè) A 運(yùn)維項(xiàng)目需要使用數(shù)據(jù)庫(kù)，但必須允許企業(yè) B 中的某些成員訪問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

　　38、在從零新建的系統(tǒng)可以實(shí)施建立一個(gè)零信任架構(gòu)。但任何一個(gè)具備規(guī)模的企業(yè)不太可能在單一的技術(shù)更迭周期內(nèi)全部遷移到零信任。零信任架構(gòu)工作流程在傳統(tǒng)企業(yè)中可能會(huì)有一段不確定的共存期。

　　39、在將零信任架構(gòu)引入企業(yè)之前，應(yīng)該對(duì)資產(chǎn)、用戶、數(shù)據(jù)流和工作流進(jìn)行調(diào)查。這是零信任架構(gòu)部署之前必須達(dá)到的基礎(chǔ)狀態(tài)。

　　40、對(duì)于一個(gè)零信任企業(yè)來(lái)說(shuō)，PE 必須對(duì)企業(yè)主體有一定的了解。主體可以包括人和非人類實(shí)體（NPE），如與資源交互的服務(wù)賬戶等。擁有特殊權(quán)限的用戶，如開發(fā)人員或系統(tǒng)管理員，在被分配屬性或角色時(shí)，需要進(jìn)行額外的審查。

　　41、零信任架構(gòu)的關(guān)鍵要求之一是識(shí)別和管理設(shè)備的能力。這包括硬件組件（如筆記本電腦、電話、IoT 設(shè)備）和數(shù)字制品（如用戶賬戶、應(yīng)用程序、數(shù)字證書）。企業(yè)必須能夠配置、調(diào)查和更新企業(yè)資產(chǎn)，例如虛擬資產(chǎn)和容器等企業(yè)資產(chǎn)。還包括其物理位置（作為盡量預(yù)估）和網(wǎng)絡(luò)位置。在做出資源訪問(wèn)決策時(shí)，這些信息應(yīng)該為策略引擎 PE 提供參考。

　　42、利用基于云的資源或由遠(yuǎn)程員工使用的業(yè)務(wù)流程通常是零信任架構(gòu)的良好候選對(duì)象。

　　43、企業(yè)應(yīng)該從低風(fēng)險(xiǎn)的業(yè)務(wù)流程開始向零信任架構(gòu)過(guò)渡，因?yàn)闃I(yè)務(wù)中斷可能不會(huì)對(duì)整個(gè)組織產(chǎn)生負(fù)面影響。一旦獲得足夠的經(jīng)驗(yàn)，更關(guān)鍵的業(yè)務(wù)流程就可以成為候選對(duì)象。

　　44、在確定資產(chǎn)或工作流后，確定所有使用或受工作流影響的上游資源（如身份管理系統(tǒng)、數(shù)據(jù)庫(kù)、微服務(wù)）、下游資源（如日志、安全監(jiān)控）和實(shí)體（如用戶、服務(wù)賬戶）。這可能會(huì)影響作為第一次遷移到零信任架構(gòu)的待選對(duì)象選擇。

　　45、如何選擇零信任方案？因素一：該解決方案是否要求在終端資產(chǎn)上安裝組件？這可能會(huì)不利于使用非企業(yè)自有資產(chǎn)訪問(wèn)的業(yè)務(wù)流程，如 BYOD 或跨機(jī)構(gòu)協(xié)作等。

　　46、如何選擇零信任方案？因素二：在業(yè)務(wù)流程資源完全存在于企業(yè)本地的情況下，該解決方案是否可以工作？有些解決方案假設(shè)所請(qǐng)求的資源部署在云端（所謂的南北流量），而不是在企業(yè)邊界內(nèi)（東西流量）。

　　47、如何選擇零信任方案？因素三：該解決方案是否提供可以進(jìn)行分析的交互記錄？零信任的一個(gè)關(guān)鍵組成部分是收集和使用與流程流相關(guān)的數(shù)據(jù)，在做出訪問(wèn)決策時(shí)，這些數(shù)據(jù)會(huì)反饋到 PE 中。

　　48、新的零信任業(yè)務(wù)工作流可以在一段時(shí)間內(nèi)以“報(bào)告模式”運(yùn)行，以確保策略是有效和可行的。報(bào)告模式意味著應(yīng)該對(duì)大多數(shù)請(qǐng)求授予訪問(wèn)權(quán)限。

　　49、有一種誤解認(rèn)為零信任架構(gòu) ZTA 是一個(gè)帶有解決方案集合的單一框架，且與現(xiàn)有的網(wǎng)絡(luò)安全觀并不兼容。而實(shí)際上，零信任應(yīng)該被視為當(dāng)前網(wǎng)絡(luò)安全戰(zhàn)略的演變，因?yàn)樵S多概念和想法已經(jīng)存在發(fā)展了很長(zhǎng)時(shí)間。

　　50、采取單一廠商解決方案完成零信任架構(gòu)是不可能的，而且這樣還會(huì)導(dǎo)致供應(yīng)商鎖定。許多產(chǎn)品專注于 ZTE內(nèi)部的單個(gè)市場(chǎng)定位，并依賴于其他產(chǎn)品來(lái)向另一個(gè)組件提供數(shù)據(jù)或某些服務(wù)。（例如，為資源訪問(wèn)而集成多因素認(rèn)證（MFA））。

　　51、云安全聯(lián)盟（CSA）已經(jīng)為軟件定義邊界（SDP）開發(fā)了一個(gè)框架，該框架在 ZTA 中也很有用。

　　52、面對(duì) ZTA，攻擊將如何演變？一種可能性是旨在竊取憑證的攻擊可能會(huì)擴(kuò)展為以MFA（多因素認(rèn)證）為目標(biāo)（例如網(wǎng)絡(luò)釣魚、社會(huì)工程）。另一種可能性是，在混合型 ZTA 或邊界防御為主的企業(yè)中，攻擊者將重點(diǎn)關(guān)注尚未應(yīng)用 ZTA 原則的業(yè)務(wù)流程（即執(zhí)行傳統(tǒng)的基于網(wǎng)絡(luò)邊界的安全策略的那些）。