零信任架構(gòu)分為身份、設(shè)備、企業(yè)應(yīng)用、基礎(chǔ)設(shè)施、數(shù)據(jù)、網(wǎng)絡(luò)等六個部分，如下圖。如果一個公司的這六個部分都滿足零信任的要求，那么可以說這個公司的架構(gòu)是滿足零信任理念的。

　　零信任不是單一新技術(shù)，而是集成了很多現(xiàn)有技術(shù)的新架構(gòu)。你的公司可能已經(jīng)擁有了部分零信任元素。

　　怎么確定公司已經(jīng)做了什么，還需要做什么呢？你可以對比下面這份微軟總結(jié)的自測表，看看公司在零信任視角下處于哪個階段。

　　1.身份

　?。?）內(nèi)部用戶（員工）訪問業(yè)務(wù)系統(tǒng)是否需要進行“多因子認(rèn)證”？

　?。?）外部用戶（第三方）訪問業(yè)務(wù)系統(tǒng)是否需要進行“多因子認(rèn)證”？

　?。?）內(nèi)部用戶是否允許單點登錄？

　?。?）外部用戶是否允許單點登錄？

　?。?）身份管理系統(tǒng)部署在云端還是內(nèi)網(wǎng)？

　?。?）企業(yè)資源（服務(wù)器、數(shù)據(jù)庫、SaaS應(yīng)用、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)等）是否有專門的安全策略引擎做訪問控制和攔截？

　?。?）用戶登錄時，是否做了賬號被竊取風(fēng)險檢測？

　　（8）對用戶的各類風(fēng)險因素，是否做了持續(xù)的動態(tài)評估？

　　（9）身份和訪問控制系統(tǒng)是否集成了統(tǒng)一安全代理、日志審計警報、終端防護、設(shè)備管理、安全策略管理等功能？

　?。?0）訪問策略中是否包含如下內(nèi)容——用戶、設(shè)備、應(yīng)用、網(wǎng)絡(luò)、位置、用戶風(fēng)險等級、登錄風(fēng)險等級？

       2.設(shè)備

　　（1）身份管理系統(tǒng)中關(guān)聯(lián)了設(shè)備信息？

　　（2）內(nèi)部用戶的設(shè)備是否受移動設(shè)備管理系統(tǒng)的管控？

　?。?）對受控設(shè)備授予訪問權(quán)限之前，是否進行了配置的合規(guī)性檢測？

　?。?）是否考慮到了非受控設(shè)備連接公司資源的場景？

　?。?）外部用戶的設(shè)備是否受移動設(shè)備管理系統(tǒng)的管控？

　?。?）是否對所有設(shè)備強制執(zhí)行數(shù)據(jù)防泄密措施？

　?。?）是否通過終端威脅檢測工具進行實時的設(shè)備風(fēng)險評估？

　　3.企業(yè)應(yīng)用

　?。?）是否做了基于策略的應(yīng)用訪問控制？

　?。?）是否對所有流量進行了威脅監(jiān)控？

　?。?）內(nèi)網(wǎng)的敏感應(yīng)用和資源是允許通過VPN或?qū)＞€訪問？

　?。?）是否存在未經(jīng)批準(zhǔn)擅自運行的應(yīng)用？是否在不斷發(fā)現(xiàn)、檢測這些影子IT的風(fēng)險？

　　（5）是否持續(xù)監(jiān)控所有文件的上傳、下載？

　?。?）是否具備根據(jù)用戶風(fēng)險做細粒度訪問控制的能力？（可見性控制、只讀、阻斷）

　　（7）是否只給用戶授予了工作必須的最小權(quán)限？

　　4.基礎(chǔ)設(shè)施

　　（1）如果有多云或者混合云架構(gòu)的話，是否做了統(tǒng)一的防護方案？

　?。?）是否對不同應(yīng)用的流量做了標(biāo)識和區(qū)分？

　?。?）是否隔離了“用戶到服務(wù)器”和“服務(wù)器到服務(wù)器”的訪問？

　?。?）安全團隊是否有針對終端的特殊類型攻擊的檢測工具？

　?。?）安全團隊是否有多來源安全事件的統(tǒng)計分析工具？

　?。?）安全團隊是否使用用戶行為分析工具檢測發(fā)現(xiàn)威脅？

　?。?）安全團隊是否使用應(yīng)急響應(yīng)工具減少威脅響應(yīng)的人工成本？

　　（8）是否定期（至少每半年）檢查管理員的管理權(quán)限是否合理？

　　（9）是否只授予了管理員管理服務(wù)器及其他基礎(chǔ)設(shè)施的最小權(quán)限？

　　5.數(shù)據(jù)

　　（1）訪問授權(quán)是基于數(shù)據(jù)敏感度的，而不是簡單的基于網(wǎng)絡(luò)邊界的？

　　（2）企業(yè)是否定義了數(shù)據(jù)分類方法？

　　（3）數(shù)據(jù)訪問的授權(quán)是否受策略控制？是否由云安全策略引擎執(zhí)行？

　?。?）數(shù)據(jù)是否由機器學(xué)習(xí)模型進行分類和標(biāo)記？

　?。?）是否持續(xù)去發(fā)現(xiàn)所有數(shù)字資產(chǎn)中的敏感數(shù)據(jù)？

　    6.網(wǎng)絡(luò)

　?。?）網(wǎng)絡(luò)是否做了分段，以防止橫向攻擊？

　?。?）是否有防火墻、DDoS防護、Web防火墻等網(wǎng)絡(luò)保護措施？

　　（3）是否建立安全的管理訪問權(quán)限以保護網(wǎng)段？

　?。?）是否使用證書對所有網(wǎng)絡(luò)通信（包括服務(wù)器對服務(wù)器）進行加密？

　?。?）是否使用了基于機器學(xué)習(xí)的威脅防護和基于上下文的安全過濾？

　　根據(jù)公司架構(gòu)是否滿足上述問題，可以算出公司在各個方面的得分。根據(jù)總得分不同，零信任成熟度模型將企業(yè)實施零信任的路徑分為三個階段：

　　1、傳統(tǒng)階段：大多數(shù)企業(yè)處于這個階段，還未開始零信任建設(shè)。身份認(rèn)證依靠靜態(tài)規(guī)則，網(wǎng)絡(luò)存在較大風(fēng)險，設(shè)備、云環(huán)境等不可控。

　　2、高級階段：剛開始零信任建設(shè)，在幾個關(guān)鍵領(lǐng)域取得了成果。有多種身份驗證手段，有細粒度訪問控制，設(shè)備按策略管理，網(wǎng)絡(luò)做了分段，開始對用戶行為和威脅進行分析。

　　3、最優(yōu)階段：貫徹了零信任理念，安全方面有很大提升。實時分析身份可信級別，動態(tài)授予訪問權(quán)限，所有訪問都是加密的、可追蹤的，網(wǎng)絡(luò)不默認(rèn)授予信任，自動檢測威脅自動響應(yīng)。

　　改進措施

　　對照上文的自測表，可以找到差距。要彌補差距，如下技術(shù)是一定要優(yōu)先實施的。

　　1、強認(rèn)證。確保以強大的多因素身份驗證和風(fēng)險檢測作為訪問策略的基礎(chǔ)，最大程度地減少身份泄露的風(fēng)險。

　　2、基于策略的自適應(yīng)訪問控制。為企業(yè)資源定義訪問策略，使用統(tǒng)一的安全策略引擎實施這些策略，監(jiān)控并發(fā)現(xiàn)異常。

　　3、微隔離。使用軟件定義的微隔離，從集中式網(wǎng)絡(luò)邊界管理轉(zhuǎn)型為全方位的網(wǎng)絡(luò)隔離管理。

　　4、自動化。開發(fā)自動警報和響應(yīng)措施，減少平均響應(yīng)時間。

　　5、威脅情報和AI。綜合各個來源的信息，實時檢測和響應(yīng)異常訪問行為。

　　6、數(shù)據(jù)保護。發(fā)現(xiàn)、分類、保護和監(jiān)視敏感數(shù)據(jù)，最大程度地減少惡意的或意外的滲透風(fēng)險。

　   總結(jié)

　　零信任安全模型是當(dāng)下最有效的一種安全架構(gòu)。大多數(shù)企業(yè)都應(yīng)該分階段地，根據(jù)零信任的成熟度、可用資源和優(yōu)先級來逐步建設(shè)零信任安全。

　　建設(shè)零信任的道路上，向前邁出的每一步都是一個新的高度。