什么是零信任？

零信任提供了一系列概念和思想，在假定網(wǎng)絡環(huán)境已經(jīng)被攻陷的前提下，當執(zhí)行信息系統(tǒng)和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構(gòu)（ZTA）則是一種企業(yè)網(wǎng)絡安全的規(guī)劃，它基于零信任理念，圍繞其組件關系、工作流規(guī)劃與訪問策略構(gòu)建而成。

舉例

大灰狼看到三只小豬，就像黑產(chǎn)看到了企業(yè)可竊取的巨大利益，大灰狼（黑產(chǎn)）通過各種手段來攻破房子（企業(yè)業(yè)務系統(tǒng)），進而吃掉三只小豬（竊取利益）。三只小豬的房子堅固度，就像是企業(yè)的安全防護手段?，F(xiàn)實中，企業(yè)會在房子外面增加圍欄、門鎖、防盜門等措施加固房子，防止房子被屋里破壞。而黑產(chǎn)可以通過收買“壞豬”來打開房門，還可以偽裝成“豬媽媽”進入房子。

如果三只小豬懂“零信任”，他們可以通過判斷誰是“壞豬”，識破冒牌“豬媽媽”來保護自己，防止大灰狼進入房子；當然即便大灰狼通過很好的偽裝進入房子，也可以通過不間斷分析監(jiān)督，在不同的風險程度時，采取不同的處置手段，若風險程度較高，便可直接驅(qū)逐來斷絕風險。

房子是他們的安全邊界，攻破了房子就會被吃掉。數(shù)字時代下的云計算、物聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，企業(yè)傳統(tǒng)的以網(wǎng)絡作為邊界安全的架構(gòu)正在逐漸失效，而不以邊界為信任條件，以“人”為核心的零信任安全更符合當下企業(yè)的業(yè)務安全需求。

零信任的發(fā)展

從2004年

耶利哥論壇提出去邊界化安全理念

到2010年

“零信任支付”John kindervag提出零信任網(wǎng)絡模型概念，2019年CSA大中華區(qū)SDP工作組，發(fā)布行業(yè)相關標準白皮書和實踐指南

至2020年

方案在多行業(yè)落地，并陸續(xù)推出零信任相關標準，零信任安全正在快速普及應用，將成為企業(yè)IT安全建設的必然選擇。

零信任即永不信任，始終驗證。默認情況下不信任網(wǎng)絡內(nèi)部和外部的任何人/設備/系統(tǒng)，需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎。

用戶：訪問的主體，即是用戶在網(wǎng)絡中的身份映射。

終端：發(fā)起訪問用的設備，系統(tǒng)環(huán)境軟硬件及發(fā)起訪問的可執(zhí)行程序代碼。

資源：最終要訪問和獲取的客體，通常是內(nèi)網(wǎng)的應用系統(tǒng)。

鏈路:終端

零信任價值

通過零信任安全體系架構(gòu)的建設，以人工智能、大數(shù)據(jù)等技術(shù)與業(yè)務高度融合，? 能夠為企業(yè)提供多方面的實際社會價值有：

第一方面：能發(fā)現(xiàn)并解決由于身份信息泄露、冒用、盜用、特權(quán)賬號、賬號共享等等的身份欺詐風險。

第二方面：能發(fā)現(xiàn)并解決各類移動終端的安全風險，能解決網(wǎng)絡設備、服務器、wifi、vpn等等設備的二次認證，從而避免了各類型設備的欺詐風險。

第三方面：基于人工智能技術(shù)，通過連續(xù)認證實現(xiàn)動態(tài)行為監(jiān)控，通過規(guī)則引?擎來實現(xiàn)動態(tài)授權(quán)，通過機器學習引擎來發(fā)現(xiàn)新的風險，從而能夠?qū)崟r的發(fā)現(xiàn)?并解決用戶的行為風險。

第四方面：兼容移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等等新興應用場景，為企業(yè)的新時期?信息化建設或信息化數(shù)字轉(zhuǎn)型提供有效的安全保障。

零信任架構(gòu)的理念核心是將傳統(tǒng)以網(wǎng)絡為基礎的信任，變?yōu)橐陨矸轂樾湃蔚臋C制。零信任不是不信任，是指從零開始建立信任。通過身份治理，實現(xiàn)設備、用戶、應用等實體的全面身份化，從零開始構(gòu)筑基于身份的信任體系，建立企業(yè)全新的身份邊界。

零信任概念核心

以網(wǎng)絡為中心

以身份為中心

零信任邏輯架構(gòu)

NIST SP 800-207 Zero Trust Architecture（NIST?零信任架構(gòu)草案第二版）

構(gòu)成零信任架構(gòu)的組件很多。左右兩邊是外部支撐系統(tǒng)，?中間的核心區(qū)域則通過數(shù)據(jù)平?面和控制平面將PDP 和P E P 進行了邏輯上的獨立， 使得企業(yè)資產(chǎn)和資源在網(wǎng)絡上不能直 接被訪問。企業(yè)在開展日常生產(chǎn)任務和業(yè)務時使用數(shù)據(jù)平面。PDP 通過控制平面來與P E P 通信和管理系統(tǒng)之間的連接，以便被授權(quán)和批準的主體（用戶/?計算機） 可以訪問客 體（數(shù)據(jù)）。零信任架構(gòu)確保主體“ 可信” 且請求有效， P D P / P E P 會傳遞恰當?shù)呐袛啵??以允許主體訪問資源。

以上內(nèi)容選取自安全牛課堂獨家課程《走進零信任》,復制鏈接訪問https://www.aqniukt.com/goods/show/2115?targetId=15521&preview=0?from=bili