1、零信任（Zero Trust，縮寫ZT）代表著業(yè)界正在演進的網(wǎng)絡安全最佳實踐，它將網(wǎng)絡防御的重心從靜態(tài)的網(wǎng)絡邊界轉(zhuǎn)移到了用戶、設備和資源上。

　　2、零信任安全模型假設網(wǎng)絡上已經(jīng)存在攻擊者，并且企業(yè)自有的網(wǎng)絡基礎設施（內(nèi)網(wǎng)）與其他網(wǎng)絡（比如公網(wǎng)）沒有任何不同，不再默認內(nèi)網(wǎng)是可信的。

　　3、零信任架構(gòu)（ZTA）的宗旨是減少對攻擊者的資源暴露，并在主機系統(tǒng)被攻陷時，最小化（或防止）攻擊在企業(yè)內(nèi)部的橫向擴展。

　　4、零信任的重心在于保護資源，而不是網(wǎng)段，因為網(wǎng)絡位置不再被視為資源安全與否的主要依據(jù)。

　　5、根據(jù)該零信任原則，ZTA 環(huán)境不再包含對系統(tǒng)和用戶隱含的信任，該信任與物理或網(wǎng)絡位置（例如：局域網(wǎng)或互聯(lián)網(wǎng)）無關。因此在用戶和設備通過可靠的身份驗證和授權(quán)進行徹底地驗證之前，ZTA 不會授予其對資源的訪問權(quán)限。

　　6、NIST（美國國家標準與技術研究院）認為——向零信任架構(gòu)的轉(zhuǎn)型是漫長的旅程，而不是簡單的置換企業(yè)現(xiàn)有基礎設施，預計大部分企業(yè)將以混合模式（即零信任模式與傳統(tǒng)模式）運作很長時間。

　　7、零信任模式并不是一個單一的網(wǎng)絡架構(gòu)或技術產(chǎn)品，它是一套理念、戰(zhàn)略、架構(gòu)。與一個組織如何評估其目標的風險相關。許多組織已經(jīng)在企業(yè)基礎架構(gòu)中擁有部分零信任元素。

　　8、基于邊界防御的網(wǎng)絡安全控制已顯示出明顯的不足，一旦攻擊者突破了邊界，進一步的橫向攻擊將不受阻礙。

　　9、零信任側(cè)重數(shù)據(jù)的保護。在零信任狀態(tài)下，這些保護通常涉及對資源（例如數(shù)據(jù)、計算資源和應用程序）的最小化授權(quán)訪問，僅提供給那些被識別為需要訪問的用戶和資產(chǎn)，并且對于每個訪問請求持續(xù)進行身份和權(quán)限的驗證。

　　10、零信任的概念早在“零信任”一詞出現(xiàn)以前就一直存在于網(wǎng)絡安全領域之中。國防信息系統(tǒng)局（DISA）和國防部（DoD）最早發(fā)布了他們的更安全的企業(yè)戰(zhàn)略研究工作，稱為“黑核”（BCORE）。

　　11、“零信任”概念最早是由約翰·金德瓦格（John Kindervag）在 Forrester 報告中提出的。

　　12、零信任的前提是信任從來不應該被隱式授予，而是必須進行持續(xù)地評估。

　　13、零信任是一種端到端的網(wǎng)絡安全架構(gòu)，包括身份、證書、訪問管理、操作、終端、宿主環(huán)境和互聯(lián)基礎設施等因素。

　　14、零信任允許授權(quán)主體（用戶、應用、和設備的組合）的訪問，同時消除其他所有主體（例如，攻擊者）對數(shù)據(jù)和服務的非授權(quán)訪問。

　　15、所有數(shù)據(jù)源和計算服務均被視為資源。

　　16、無論網(wǎng)絡位置如何，所有通信應以最安全的方式進行，保證機密性和完整性，并提供源身份認證。

　　17、對企業(yè)資源的訪問授權(quán)是基于每個連接的。每個連接都對請求者的信任進行評估。

　　18、對資源的訪問權(quán)限由動態(tài)策略決定，包括客戶身份、應用、用戶行為屬性、設備特征（如：已安裝的軟件版本、網(wǎng)絡位置、請求時間和日期、以前觀測到的行為、已安裝的憑證等）。

　　19、行為屬性包括自動化的用戶分析、設備分析、度量到的與已觀測到的使用模式的偏差。

　　20、零信任策略是一系列基于組織機構(gòu)分配給用戶、數(shù)據(jù)資產(chǎn)或應用的屬性的訪問規(guī)則集。

　　21、資源訪問和操作權(quán)限策略可以根據(jù)資源/數(shù)據(jù)的敏感性而變化。

　　22、沒有設備是天生可信的。企業(yè)需要確保所有設備處于盡可能最安全的狀態(tài)，并監(jiān)視設備資產(chǎn)以確保它們保持盡可能最安全的狀態(tài)。具有已知漏洞或不受管控的設備需要區(qū)別對待。

　　23、在訪問被允許之前，所有資源訪問的身份驗證和授權(quán)是動態(tài)持續(xù)評估的循環(huán)過程（如基于時間的、新的資源請求、檢測到異常用戶活動）。

　　24、整個用戶交互過程應該持續(xù)地監(jiān)視，根據(jù)策略的定義和執(zhí)行，可能進行重新的身份認證和重新授權(quán)。

　　25、企業(yè)應該收集盡量多關于網(wǎng)絡基礎設施和通信當前狀態(tài)的信息，并將其應用于提高網(wǎng)絡安全狀況。

　　26、零信任核心組件

　　a. 策略引擎（PE）：負責用戶授權(quán)。使用企業(yè)安全策略以及來自外部信息源（例如 IP 黑名單、威脅情報服務）作為“信任算法”（TA）的輸入。

　　b. 策略管理器（PA）：生成客戶端用于訪問企業(yè)資源的任何身份驗證令牌或憑證。策略引擎（PE）與策略管理器（PA）組件配對使用。策略引擎做出并記錄決策，策略管理器執(zhí)行決策（批準或拒絕）。

　　c. 策略執(zhí)行點（PEP）：負責啟用、監(jiān)視并最終終止訪問主體和企業(yè)資源之間的連接。分為兩個不同的組件：客戶端（例如，用戶筆記本電腦上的 Agent 代理程序）和資源端（例如，在資源之前部署的訪問控制網(wǎng)關）。

　　27、零信任常見方案之一：基于軟件定義邊界（SDP）的ZTA客戶端安裝agent，用戶希望通過筆記本電腦連接到一個特定企業(yè)資源（例如，人力資源應用程序/數(shù)據(jù)庫）。該訪問請求由本地代理 Agent接收，然后將請求發(fā)送給策略管理器（PA）。策略管理器 PA 將請求轉(zhuǎn)發(fā)到策略引擎PE 進行評估。如果請求被授權(quán)，則設備上Agent代理程序與對應的資源網(wǎng)關Gateway之間配置一個連接通道。加密的應用程序數(shù)據(jù)流開始工作。

　　28、零信任常見方案之二：基于安全區(qū)的部署

　　網(wǎng)關組件不駐留在某個資源的前面，而是駐留在資源安全區(qū)（例如，本地數(shù)據(jù)中心）的邊界上。該模型適用于比較陳舊的應用程序或者在無法獨立部署網(wǎng)關的本地數(shù)據(jù)中心。缺點是網(wǎng)關只能保護一組資源而非每個獨立的資源，這將導致訪問主體可能會看到一些他們不該看到的資源。

　　29、零信任常見方案之三：基于資源門戶的ZTA無需在所有客戶端設備上安裝軟件組件。但是，來自訪問請求的設備的信息也會非常有限。此模型只能在資產(chǎn)和設備它們連接到 PEP 門戶時進行一次性的掃描和分析，但無法持續(xù)地進行惡意軟件和正確配置的監(jiān)控。

　　30、零信任常見方案之四：設備應用沙箱

　　用戶在設備上的沙箱中運行已批準和審查過的應用程序。該應用程序可以與 PEP 通信以請求訪問資源，但 PEP 將拒絕來自該設備資產(chǎn)上的其他應用程序。獨立運行在沙盒的程序也能免受主機上潛在的惡意軟件感染。但這種模型有一個缺點，就是企業(yè)必須為所有設備資產(chǎn)維護這些沙盒中應用程序。

　　31、信任算法：對于已經(jīng)部署零信任架構(gòu) ZTA 的企業(yè)，策略引擎 PE 可以看作是大腦，而PE 的信任算法（TA）則是其主要的思維過程。PE根據(jù)信任算法的得分來最終授予或拒絕對資源的訪問。

　　32、信任算法的輸入包括：

　　a. 用戶操作系統(tǒng)版本、使用的應用程序和補丁級別等設備資產(chǎn)安全狀況。

　　b. 用戶的賬號角色及身份屬性包括時間和地理位置、過去觀測到的用戶行為的數(shù)據(jù)等。

　　c. MFA 網(wǎng)絡位置（例如，拒絕來自海外 IP 地址的訪問）、數(shù)據(jù)敏感度（有時稱為“數(shù)據(jù)毒性”）和資產(chǎn)配置。

　　d. 威脅情報，包括攻擊特征和緩解措施等。

　　33、信任算法的實現(xiàn)：

　　a. 基于分數(shù)：如果得分大于資源的配置閾值，則授予訪問權(quán)限或執(zhí)行操作。否則，請求被拒絕。

　　b. 基于上下文：評估訪問請求時考慮用戶或網(wǎng)絡代理的最近歷史記錄。當攻擊者行為與平常不同時，攻擊能被檢測到，觸發(fā)額外的身份驗證或者資源請求拒絕。例如，如果一個機構(gòu)的人力資源部門的員工通常在一個典型的工作日訪問 20 到 30 個員工記錄，如果訪問請求在一天中突然超過 100 個記錄，基于上下文的 TA 可能會發(fā)送警報。

　　34、零信任的使用場景之一：分支機構(gòu)訪問總部

　　員工希望從任何工作地點可以方便安全地訪問公司資源。外部地區(qū)的員工可能沒有完全企業(yè)擁有的本地網(wǎng)絡，但為了執(zhí)行工作任務仍然需要訪問企業(yè)資源。企業(yè)可能希望授予員工日歷、電子郵件等某些資源的訪問權(quán)限，但拒絕其訪問或限制操作更敏感的資源（例如，人力資源數(shù)據(jù)庫）。

　　35、零信任的使用場景之二：企業(yè)使用了多個云提供商

　　應用程序托管在與數(shù)據(jù)源分離的云服務上?？紤]性能和便于管理，云提供商 A 中托管的應用程序應該能夠直接連接到托管在云提供商 B中的數(shù)據(jù)源，而不應強制應用程序通過企業(yè)網(wǎng)絡連接。

　　36、零信任的使用場景之三：第三方訪客或外包服務人員的訪問

　　企業(yè)有自己的內(nèi)部應用程序、數(shù)據(jù)庫和資產(chǎn)，其中包括外包給供應商偶爾需要在現(xiàn)場提供維修的服務（例如，由外部供應商擁有和管理的智能供暖和照明系統(tǒng)，即 HVAC）。這些訪客和服務提供商需要網(wǎng)絡連接以執(zhí)行任務。實施零信任原則有助于企業(yè)在允許這些設備和來訪的技術人員訪問互聯(lián)網(wǎng)的同時隱藏企業(yè)資源。

　　37、零信任的使用場景之四：跨企業(yè)協(xié)作

　　一個項目涉及企業(yè) A 和企業(yè) B 的員工。企業(yè) A 運維項目需要使用數(shù)據(jù)庫，但必須允許企業(yè) B 中的某些成員訪問數(shù)據(jù)庫中的數(shù)據(jù)。

　　38、在從零新建的系統(tǒng)可以實施建立一個零信任架構(gòu)。但任何一個具備規(guī)模的企業(yè)不太可能在單一的技術更迭周期內(nèi)全部遷移到零信任。零信任架構(gòu)工作流程在傳統(tǒng)企業(yè)中可能會有一段不確定的共存期。

　　39、在將零信任架構(gòu)引入企業(yè)之前，應該對資產(chǎn)、用戶、數(shù)據(jù)流和工作流進行調(diào)查。這是零信任架構(gòu)部署之前必須達到的基礎狀態(tài)。

　　40、對于一個零信任企業(yè)來說，PE 必須對企業(yè)主體有一定的了解。主體可以包括人和非人類實體（NPE），如與資源交互的服務賬戶等。擁有特殊權(quán)限的用戶，如開發(fā)人員或系統(tǒng)管理員，在被分配屬性或角色時，需要進行額外的審查。

　　41、零信任架構(gòu)的關鍵要求之一是識別和管理設備的能力。這包括硬件組件（如筆記本電腦、電話、IoT 設備）和數(shù)字制品（如用戶賬戶、應用程序、數(shù)字證書）。企業(yè)必須能夠配置、調(diào)查和更新企業(yè)資產(chǎn)，例如虛擬資產(chǎn)和容器等企業(yè)資產(chǎn)。還包括其物理位置（作為盡量預估）和網(wǎng)絡位置。在做出資源訪問決策時，這些信息應該為策略引擎 PE 提供參考。

　　42、利用基于云的資源或由遠程員工使用的業(yè)務流程通常是零信任架構(gòu)的良好候選對象。

　　43、企業(yè)應該從低風險的業(yè)務流程開始向零信任架構(gòu)過渡，因為業(yè)務中斷可能不會對整個組織產(chǎn)生負面影響。一旦獲得足夠的經(jīng)驗，更關鍵的業(yè)務流程就可以成為候選對象。

　　44、在確定資產(chǎn)或工作流后，確定所有使用或受工作流影響的上游資源（如身份管理系統(tǒng)、數(shù)據(jù)庫、微服務）、下游資源（如日志、安全監(jiān)控）和實體（如用戶、服務賬戶）。這可能會影響作為第一次遷移到零信任架構(gòu)的待選對象選擇。

　　45、如何選擇零信任方案？因素一：該解決方案是否要求在終端資產(chǎn)上安裝組件？這可能會不利于使用非企業(yè)自有資產(chǎn)訪問的業(yè)務流程，如 BYOD 或跨機構(gòu)協(xié)作等。

　　46、如何選擇零信任方案？因素二：在業(yè)務流程資源完全存在于企業(yè)本地的情況下，該解決方案是否可以工作？有些解決方案假設所請求的資源部署在云端（所謂的南北流量），而不是在企業(yè)邊界內(nèi)（東西流量）。

　　47、如何選擇零信任方案？因素三：該解決方案是否提供可以進行分析的交互記錄？零信任的一個關鍵組成部分是收集和使用與流程流相關的數(shù)據(jù)，在做出訪問決策時，這些數(shù)據(jù)會反饋到 PE 中。

　　48、新的零信任業(yè)務工作流可以在一段時間內(nèi)以“報告模式”運行，以確保策略是有效和可行的。報告模式意味著應該對大多數(shù)請求授予訪問權(quán)限。

　　49、有一種誤解認為零信任架構(gòu) ZTA 是一個帶有解決方案集合的單一框架，且與現(xiàn)有的網(wǎng)絡安全觀并不兼容。而實際上，零信任應該被視為當前網(wǎng)絡安全戰(zhàn)略的演變，因為許多概念和想法已經(jīng)存在發(fā)展了很長時間。

　　50、采取單一廠商解決方案完成零信任架構(gòu)是不可能的，而且這樣還會導致供應商鎖定。許多產(chǎn)品專注于 ZTE內(nèi)部的單個市場定位，并依賴于其他產(chǎn)品來向另一個組件提供數(shù)據(jù)或某些服務。（例如，為資源訪問而集成多因素認證（MFA））。

　　51、云安全聯(lián)盟（CSA）已經(jīng)為軟件定義邊界（SDP）開發(fā)了一個框架，該框架在 ZTA 中也很有用。

　　52、面對 ZTA，攻擊將如何演變？一種可能性是旨在竊取憑證的攻擊可能會擴展為以MFA（多因素認證）為目標（例如網(wǎng)絡釣魚、社會工程）。另一種可能性是，在混合型 ZTA 或邊界防御為主的企業(yè)中，攻擊者將重點關注尚未應用 ZTA 原則的業(yè)務流程（即執(zhí)行傳統(tǒng)的基于網(wǎng)絡邊界的安全策略的那些）。