什么是零信任架构?

零信任已成为网络安全的最新流行语之一。一定要了解零信任是甚么，和零信任不是甚么。

零信任是一项战略计划，它通过消除组织网络架构中的信任概念来帮助避免成功的数据泄漏。植根于“永不信任，始终验证”的原则，零信任旨在通过利用网络分段、避免横向移动、提供第7层要挟预防和简化细粒度用户访问控制来保护现代数字环境。

零信任是由JohnKindervag在他担负ForresterResearch的副总裁兼首席分析师期间创建的，其基础是认识到传统安全模型基于过时的假定运行，即组织网络内的所有内容都应当可信。在这类破碎的信任模型下，假定用户的身份没有遭到侵害，并且所有用户的行动都是负责任的并且可以信任。零信任模型认识到信任是一个漏洞。一旦进入网络，用户(包括要挟行动者和歹意内部人员)可以自由横向移动并访问或泄漏他们不受限制的任何数据。请记住，攻击的渗透点通常不是目标位置。

根据ForresterWave?：特权身份管理，2018年第4季度，这类信任模型继续被滥用。1零信任不是要让系统受信任，而是要消除信任。

零信任架构

在零信任中，您肯定了“保护表面”。保护面由网络中最关键和最有价值的数据、资产、利用程序和服务(简称DAAS)组成。保护表面对每一个组织来讲都是唯一无二的。由于它只包括对组织运营最关键的内容，所以保护面比攻击面小几个数量级，而且它始终是可知的。

肯定保护面后，您可以肯定与保护面相干的流量在全部组织中的移动方式。了解用户是谁、他们正在使用哪些利用程序和他们如何连接是肯定和实行确保安全访问数据的策略的唯一方法。一旦您了解了DAAS、基础设施、服务和用户之间的相互依赖关系，您就应当在尽量靠近保护表面的地方设置控制，在其周围创建一个微边界。不管走到哪里，这个微周边都会随着保护表面移动。您可以通过部署分段网关来创建微边界，通常称为下一代防火墙，以确保只有已知的、允许的流量或合法利用程序才能访问保护表面。

分段网关提供对流量的细粒度可见性，并通过基于Kipling方法的细粒度第7层策略实行额外的检查和访问控制层，该策略定义了基于谁、甚么、什么时候、何地、为啥和如何的零信任策略。零信任策略肯定谁可以在任什么时候间点通过微边界，避免未经授权的用户访问您的保护表面并避免泄漏敏感数据。零信任只能在第7层实现。

围绕保护面构建零信任策略后，您将继续实时监控和保护，寻觅保护面中应包括的内容、还没有斟酌的相互依赖性和改进策略的方法等内容。