數字化轉型中，“雲大物移”等技術的業務應用加速落地。新技術、新場景的採用，在彈性計算、移動訪問等方面提升業務效率。然而，從安全防護角度，新技術模糊了企業網路邊界，傳統的基於邊界防護的安全架構受到了挑戰。新技術本身，以及難以避免的Shadow IT問題，帶來新的安全風險。在這種新正規化下，企業必須不斷地分析和評估其內部資產和業務功能的風險，然後制定防護措施來緩解這些風險，這些控制措施既要確保可信訪問的通達，同時提供對網路攻擊的有效防禦，這是零信任出現並且贏得高度關注的背景。

零信任安全是一套關於網路基礎設施設計和執行的指導原則，零信任體系架構是一種端到端的網路/資料安全方法，包括身份、憑證、訪問管理、操作、端點、宿主環境和互聯基礎設施。零信任重點在應用和資料的安全，此二者是IT系統支撐業務的價值核心。

一.零信任理念支柱

零信任的核心理念是：除非得到驗證，否則不信任。對於無邊界的網路訪問而言，後臺的應用和資源，需要驗證來訪的人和裝置。這是零信任的基礎，即使用者可信，裝置可信。初次訪問，只需要驗證二者即可，建立訪問會話之後，還需要持續評估訪問行為的可信，確認來訪問的使用者和裝置始終保持在安全狀態，沒有任何異常行為，一旦出現了異常，能夠及時的自動化的處理，比如信任等級降低，重新認證，或者直接切斷訪問會話。零信任安全的支柱，包含以下四個要素：全面感知、最小授信、持續評估、動態決策。

圖：零信任理念支柱

1、全面感知

全面感知，指的是要儘可能的收集企業內、外部的資訊，對環境作出正確的評價。全面感知的內容，包括且不限於終端環境感知、網路環境感知、網路威脅感知。對於終端初始訪問請求，更多的需要感知裝置的安全狀況，會話建立後，需要感知網路上訪問行為的情況。

2、最小授信

使用者攜帶終端裝置，訪問資料中心的應用和資源，這個過程中，需要對使用者和終端授信，並且應該只授予最小的、必要的許可權。使用者的認證和許可權，使用者訪問應用的對映，甚至應用對使用者的授權，都應該是最小的許可權。

3、持續評估

使用者訪問應用的過程中，對訪問行為的持續的監控和分析。感知使用者活動和相關實體（使用者相關的應用和終端等）資訊，在此基礎上構建使用者與群組，並定義這些個體與群組的合法和正常行為，把這些人物角色在群體與群體、群體與個體、個體與個體（那些遠離合法和正常行為的群體與個體）維度上相互比對分析，將異常使用者（失陷賬號）和使用者異常（非法行為）檢測出來，從而達到檢測使用者異常、裝置異常、訪問行為異常等行為。

4、動態決策

動態決策，基於使用者、裝置和訪問行為的風險情況，動態執行響應的防禦動作。信任評估引擎完成對使用者、裝置，以及訪問行為的可信評估，再由策略控制引擎完成自動化的訪問控制動作。

圖：零信任分析和控制

響應動作包括：

· 允許訪問

· 需要二次驗證

· 需要授權

· 拒絕訪問

· 受限訪問（允許訪問普通應用，不允許訪問敏感應用）

二.綠盟科技零信任安全解決方案

零信任安全體系，構建以使用者可信和裝置可信為基礎，持續評估訪問行為可信，自適應訪問控制的架構體系。

圖：零信任安全架構

零信任策略控制引擎，基於使用者身份和許可權，裝置安全性，來決策是否允許使用者的訪問請求。在使用者訪問過程中，持續評估使用者和裝置的安全風險，必要時策略控制引擎下發指令，中斷當前的訪問會話。

零信任網路安全解決方案實際部署時，在原有的網路安全基礎上，增加零信任安全元件，實現零信任網路訪問控制。

零信任架構需要多種安全產品和技術來構建。企業可以藉助已經部署的安全產品，將安全防護與零信任相結合，面向未來構建安全架構。評估當前架構和未來願景的差距，參考業界標準和專案實踐，制定路線圖和計劃，逐步向零信任安全架構遷移。

綠盟科技《零信任安全專刊》

零信任安全先從理念開始，向實踐探索。零信任的架構、原則和標準也在演進。正是在這樣的背景下，綠盟科技特別推出《零信任安全專刊》，剖析零信任理念，設計零信任架構，探討零信任實踐，借鑑專案經驗。

內容看點：

零信任理論

零信任是以信任為基礎，專刊帶你瞭解信任的本質和內涵，零信任的原則等，並探討雲原生安全和零信任安全關聯，對比傳統安全和零信任安全優劣。

架構設計

零信任有多種架構模型，其中以類BeyondCorp架構和SDP架構最為典型。這個欄目就探討這兩種架構的設計和實現。

解決方案

零信任解決方案，是在零信任理念之下，組合產品搭建零信任安全架構。在遠端辦公和運維，大資料中心保護等場景下，指導零信任落地。

專案實踐

零信任的關鍵在於落地，專刊將落地實踐作為重點，介紹了BeyondCopr的專案經驗、綠盟科技落地專案的實踐經驗。

《零信任安全專刊》下載連結：http://blog.nsfocus.net/wp-content/uploads/2020/08/Zero-Trust-.pdf