零信任是新一代網(wǎng)絡安全理念，并非指某種單一的安全技術或產(chǎn)品，其目標是為了降低資源訪問過程中的安全風險，防止在未經(jīng)授權情況下的資源訪問，其關鍵是打破信任和網(wǎng)絡位置的默認綁定關系。

一、零信任安全模型的核心理念可以概括為以下幾點：
1. 基于身份的訪問控制：不是網(wǎng)絡位置，而是實體的身份成為授權訪問的關鍵。所有用戶和設備在被允許訪問資源之前都必須經(jīng)過嚴格的身份驗證和授權檢查。
2. 持續(xù)的信任評估：授權決策不再依賴于傳統(tǒng)靜態(tài)標準，如用戶的地理位置或網(wǎng)絡內(nèi)部/外部。相反，零信任模型要求對用戶的行為和環(huán)境進行連續(xù)監(jiān)控，并根據(jù)實時數(shù)據(jù)動態(tài)調(diào)整訪問權限。
3. 動態(tài)訪問管理：系統(tǒng)會不斷監(jiān)測用戶的行為、設備狀態(tài)和網(wǎng)絡環(huán)境，以便在任何必要時刻迅速調(diào)整訪問權限，確保只有合規(guī)的活動能夠獲得所需資源的訪問。
4. 最小化權限原則：按照“只必需”的原則來分配權限，確保用戶和設備只能訪問完成特定任務所必須的最少資源。這有助于限制一旦發(fā)生安全事件時影響的范圍。

二、零信任安全模型的組成部分NIST 800-207標準文檔中提及的三類技術架構具體如下：
1.SDP (軟件定義邊界)：它主要用于控制從用戶端到業(yè)務應用的訪問，即南北向訪問控制。這通常適用于遠程辦公等場景，其中用戶需要從外部網(wǎng)絡訪問內(nèi)部資源。SDP確保只有經(jīng)過驗證的用戶才能訪問應用，無論他們的物理位置如何。
2.MSG (微隔離)：這種架構用于在數(shù)據(jù)中心內(nèi)部，即東西向的訪問控制。微隔離技術確保了數(shù)據(jù)中心內(nèi)的各個系統(tǒng)和應用程序之間的通信是安全的，限制了潛在的橫向移動，從而降低了一個系統(tǒng)被破壞會影響到其他系統(tǒng)的風險。
3.IAM (增強型身份治理)：聚焦于身份管理和認證以及權限管理。增強型身份治理確保只有具備適當憑證和權限的用戶才能訪問敏感資源。這包括多因素認證、單點登錄、屬性基訪問控制等技術的應用

三、零信任應用場景
1. 遠程辦公：隨著遠程辦公的普及，當員工需要在家中或其他地點訪問企業(yè)資源時，零信任可以確保只有經(jīng)過身份驗證和授權的用戶才能訪問網(wǎng)絡資源，無論他們身在何處。
2. 多云和混合云環(huán)境：組織可能使用來自不同云服務提供商的服務，或者同時使用公有云和私有云。零信任策略可以幫助統(tǒng)一管理復雜的多云和混合云環(huán)境中的訪問權限，并確保數(shù)據(jù)安全。
3. 合作伙伴和第三方訪問：組織通常需要與合作伙伴、供應商和其他第三方共享資源。零信任可以為這些外部實體分配臨時訪問權限，并限制其訪問范圍，防止數(shù)據(jù)泄露。
4. 內(nèi)外網(wǎng)混合辦公：為企業(yè)職場、分支提供內(nèi)外網(wǎng)一致的訪問體驗，解決內(nèi)網(wǎng)權限策略腐化、失效等安全問題，實現(xiàn)基于身份的訪問控制和動態(tài)評估，減少安全運維工作量、提升實際安全效果。
5. 攻防演練安全加固：在常態(tài)化安全攻防場景中，可以通過零信任收縮暴露面，事前安全加固、事中檢測及阻斷、事后溯源審計，以此來提高攻擊者攻擊成本。
6. 終端數(shù)據(jù)防泄密：通過BYOD終端訪問研發(fā)、設計、制造、公文、財務等敏感數(shù)據(jù)時，會帶來數(shù)據(jù)泄密風險，可以通過零信任終端數(shù)據(jù)防泄密，來提高終端數(shù)據(jù)安全性。

四、零信任網(wǎng)絡的部署模式

實現(xiàn)零信任訪問控制的方式多樣，以適應不同組織的獨特需求和現(xiàn)有資源。以下是幾種典型的零信任部署模式：

1. 本地部署（On-premises）：在這種模式下，零信任網(wǎng)絡架構被配置在公司自己的數(shù)據(jù)中心或內(nèi)部網(wǎng)絡環(huán)境中。這適合那些需要對安全基礎結構有高度控制權的企業(yè)。不過，這可能需要較高的初始資金投入以及專業(yè)知識，以便構建和維護這個系統(tǒng)。
2. 云托管（Cloud-hosted）：在這種模式下，零信任解決方案是部署在云服務提供商的基礎架構上的。這種方案的優(yōu)勢在于其靈活性較高，能迅速適應組織的變化和發(fā)展。與本地部署相比，云托管通常具有更低的起始成本和更簡便的維護程序。
3. 混合部署（Hybrid）：混合部署結合了本地和云托管的特點，通過兩者的優(yōu)勢來達成組織特定的安全目標。根據(jù)組織的安全政策和資源狀況，可以靈活地在本地數(shù)據(jù)中和云端之間進行選擇和調(diào)整。
4. 軟件即服務（SaaS）：基于零信任模型的身份和訪問管理（IAM）解決方案可以通過SaaS模式來實現(xiàn)。這種方式免除了企業(yè)自行維護底層基礎設施的需求，能夠迅速支援并實踐零信任策略。

選擇合適的部署模式時，應綜合考慮組織的具體需求、資源狀況和安全策略。例如，對于那些需要對基礎結構擁有高度控制權的組織而言，本地部署可能更為理想；而如果追求易用性和靈活性，則云托管或SaaS方案可能更加適宜。最關鍵的是，所選的部署模式應當能夠滿足組織的網(wǎng)絡安全需求，并能隨時調(diào)整以應對不斷演變的網(wǎng)絡威脅。

我們擁有專業(yè)的技術人員和優(yōu)質(zhì)的服務團隊，結合國內(nèi)外廠家：深信服、華為、Fortinet（飛塔）、思科、天融信、綠盟等為您的企業(yè)提供專業(yè)的零信任解決方案，為您節(jié)省成本、提升效率。

審核編輯 黃宇