零信任架構(gòu)分為身份、設(shè)備、企業(yè)應(yīng)用、基礎(chǔ)設(shè)施、數(shù)據(jù)、網(wǎng)絡(luò)等六個(gè)部分，如下圖。如果一個(gè)公司的這六個(gè)部分都滿足零信任的要求，那么可以說(shuō)這個(gè)公司的架構(gòu)是滿足零信任理念的。

　　零信任不是單一新技術(shù)，而是集成了很多現(xiàn)有技術(shù)的新架構(gòu)。你的公司可能已經(jīng)擁有了部分零信任元素。

　　怎么確定公司已經(jīng)做了什么，還需要做什么呢？你可以對(duì)比下面這份微軟總結(jié)的自測(cè)表，看看公司在零信任視角下處于哪個(gè)階段。

　　1.身份

　?。?）內(nèi)部用戶（員工）訪問(wèn)業(yè)務(wù)系統(tǒng)是否需要進(jìn)行“多因子認(rèn)證”？

　?。?）外部用戶（第三方）訪問(wèn)業(yè)務(wù)系統(tǒng)是否需要進(jìn)行“多因子認(rèn)證”？

　?。?）內(nèi)部用戶是否允許單點(diǎn)登錄？

　?。?）外部用戶是否允許單點(diǎn)登錄？

　　（5）身份管理系統(tǒng)部署在云端還是內(nèi)網(wǎng)？

　?。?）企業(yè)資源（服務(wù)器、數(shù)據(jù)庫(kù)、SaaS應(yīng)用、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)等）是否有專門的安全策略引擎做訪問(wèn)控制和攔截？

　?。?）用戶登錄時(shí)，是否做了賬號(hào)被竊取風(fēng)險(xiǎn)檢測(cè)？

　?。?）對(duì)用戶的各類風(fēng)險(xiǎn)因素，是否做了持續(xù)的動(dòng)態(tài)評(píng)估？

　　（9）身份和訪問(wèn)控制系統(tǒng)是否集成了統(tǒng)一安全代理、日志審計(jì)警報(bào)、終端防護(hù)、設(shè)備管理、安全策略管理等功能？

　?。?0）訪問(wèn)策略中是否包含如下內(nèi)容——用戶、設(shè)備、應(yīng)用、網(wǎng)絡(luò)、位置、用戶風(fēng)險(xiǎn)等級(jí)、登錄風(fēng)險(xiǎn)等級(jí)？

       2.設(shè)備

　?。?）身份管理系統(tǒng)中關(guān)聯(lián)了設(shè)備信息？

　　（2）內(nèi)部用戶的設(shè)備是否受移動(dòng)設(shè)備管理系統(tǒng)的管控？

　　（3）對(duì)受控設(shè)備授予訪問(wèn)權(quán)限之前，是否進(jìn)行了配置的合規(guī)性檢測(cè)？

　?。?）是否考慮到了非受控設(shè)備連接公司資源的場(chǎng)景？

　?。?）外部用戶的設(shè)備是否受移動(dòng)設(shè)備管理系統(tǒng)的管控？

　　（6）是否對(duì)所有設(shè)備強(qiáng)制執(zhí)行數(shù)據(jù)防泄密措施？

　?。?）是否通過(guò)終端威脅檢測(cè)工具進(jìn)行實(shí)時(shí)的設(shè)備風(fēng)險(xiǎn)評(píng)估？

　　3.企業(yè)應(yīng)用

　　（1）是否做了基于策略的應(yīng)用訪問(wèn)控制？

　　（2）是否對(duì)所有流量進(jìn)行了威脅監(jiān)控？

　　（3）內(nèi)網(wǎng)的敏感應(yīng)用和資源是允許通過(guò)VPN或?qū)＞€訪問(wèn)？

　?。?）是否存在未經(jīng)批準(zhǔn)擅自運(yùn)行的應(yīng)用？是否在不斷發(fā)現(xiàn)、檢測(cè)這些影子IT的風(fēng)險(xiǎn)？

　?。?）是否持續(xù)監(jiān)控所有文件的上傳、下載？

　?。?）是否具備根據(jù)用戶風(fēng)險(xiǎn)做細(xì)粒度訪問(wèn)控制的能力？（可見(jiàn)性控制、只讀、阻斷）

　?。?）是否只給用戶授予了工作必須的最小權(quán)限？

　　4.基礎(chǔ)設(shè)施

　?。?）如果有多云或者混合云架構(gòu)的話，是否做了統(tǒng)一的防護(hù)方案？

　　（2）是否對(duì)不同應(yīng)用的流量做了標(biāo)識(shí)和區(qū)分？

　?。?）是否隔離了“用戶到服務(wù)器”和“服務(wù)器到服務(wù)器”的訪問(wèn)？

　?。?）安全團(tuán)隊(duì)是否有針對(duì)終端的特殊類型攻擊的檢測(cè)工具？

　?。?）安全團(tuán)隊(duì)是否有多來(lái)源安全事件的統(tǒng)計(jì)分析工具？

　　（6）安全團(tuán)隊(duì)是否使用用戶行為分析工具檢測(cè)發(fā)現(xiàn)威脅？

　?。?）安全團(tuán)隊(duì)是否使用應(yīng)急響應(yīng)工具減少威脅響應(yīng)的人工成本？

　?。?）是否定期（至少每半年）檢查管理員的管理權(quán)限是否合理？

　?。?）是否只授予了管理員管理服務(wù)器及其他基礎(chǔ)設(shè)施的最小權(quán)限？

　　5.數(shù)據(jù)

　?。?）訪問(wèn)授權(quán)是基于數(shù)據(jù)敏感度的，而不是簡(jiǎn)單的基于網(wǎng)絡(luò)邊界的？

　?。?）企業(yè)是否定義了數(shù)據(jù)分類方法？

　?。?）數(shù)據(jù)訪問(wèn)的授權(quán)是否受策略控制？是否由云安全策略引擎執(zhí)行？

　　（4）數(shù)據(jù)是否由機(jī)器學(xué)習(xí)模型進(jìn)行分類和標(biāo)記？

　?。?）是否持續(xù)去發(fā)現(xiàn)所有數(shù)字資產(chǎn)中的敏感數(shù)據(jù)？

　    6.網(wǎng)絡(luò)

　　（1）網(wǎng)絡(luò)是否做了分段，以防止橫向攻擊？

　?。?）是否有防火墻、DDoS防護(hù)、Web防火墻等網(wǎng)絡(luò)保護(hù)措施？

　　（3）是否建立安全的管理訪問(wèn)權(quán)限以保護(hù)網(wǎng)段？

　　（4）是否使用證書對(duì)所有網(wǎng)絡(luò)通信（包括服務(wù)器對(duì)服務(wù)器）進(jìn)行加密？

　?。?）是否使用了基于機(jī)器學(xué)習(xí)的威脅防護(hù)和基于上下文的安全過(guò)濾？

　　根據(jù)公司架構(gòu)是否滿足上述問(wèn)題，可以算出公司在各個(gè)方面的得分。根據(jù)總得分不同，零信任成熟度模型將企業(yè)實(shí)施零信任的路徑分為三個(gè)階段：

　　1、傳統(tǒng)階段：大多數(shù)企業(yè)處于這個(gè)階段，還未開(kāi)始零信任建設(shè)。身份認(rèn)證依靠靜態(tài)規(guī)則，網(wǎng)絡(luò)存在較大風(fēng)險(xiǎn)，設(shè)備、云環(huán)境等不可控。

　　2、高級(jí)階段：剛開(kāi)始零信任建設(shè)，在幾個(gè)關(guān)鍵領(lǐng)域取得了成果。有多種身份驗(yàn)證手段，有細(xì)粒度訪問(wèn)控制，設(shè)備按策略管理，網(wǎng)絡(luò)做了分段，開(kāi)始對(duì)用戶行為和威脅進(jìn)行分析。

　　3、最優(yōu)階段：貫徹了零信任理念，安全方面有很大提升。實(shí)時(shí)分析身份可信級(jí)別，動(dòng)態(tài)授予訪問(wèn)權(quán)限，所有訪問(wèn)都是加密的、可追蹤的，網(wǎng)絡(luò)不默認(rèn)授予信任，自動(dòng)檢測(cè)威脅自動(dòng)響應(yīng)。

　　改進(jìn)措施

　　對(duì)照上文的自測(cè)表，可以找到差距。要彌補(bǔ)差距，如下技術(shù)是一定要優(yōu)先實(shí)施的。

　　1、強(qiáng)認(rèn)證。確保以強(qiáng)大的多因素身份驗(yàn)證和風(fēng)險(xiǎn)檢測(cè)作為訪問(wèn)策略的基礎(chǔ)，最大程度地減少身份泄露的風(fēng)險(xiǎn)。

　　2、基于策略的自適應(yīng)訪問(wèn)控制。為企業(yè)資源定義訪問(wèn)策略，使用統(tǒng)一的安全策略引擎實(shí)施這些策略，監(jiān)控并發(fā)現(xiàn)異常。

　　3、微隔離。使用軟件定義的微隔離，從集中式網(wǎng)絡(luò)邊界管理轉(zhuǎn)型為全方位的網(wǎng)絡(luò)隔離管理。

　　4、自動(dòng)化。開(kāi)發(fā)自動(dòng)警報(bào)和響應(yīng)措施，減少平均響應(yīng)時(shí)間。

　　5、威脅情報(bào)和AI。綜合各個(gè)來(lái)源的信息，實(shí)時(shí)檢測(cè)和響應(yīng)異常訪問(wèn)行為。

　　6、數(shù)據(jù)保護(hù)。發(fā)現(xiàn)、分類、保護(hù)和監(jiān)視敏感數(shù)據(jù)，最大程度地減少惡意的或意外的滲透風(fēng)險(xiǎn)。

　   總結(jié)

　　零信任安全模型是當(dāng)下最有效的一種安全架構(gòu)。大多數(shù)企業(yè)都應(yīng)該分階段地，根據(jù)零信任的成熟度、可用資源和優(yōu)先級(jí)來(lái)逐步建設(shè)零信任安全。

　　建設(shè)零信任的道路上，向前邁出的每一步都是一個(gè)新的高度。