零信任(Zero Trust) 体系

零信任(Zero Trust) 体系

随着云计算、大数据、物联网等新兴技术的不断兴起，IT环境变得越来越复杂，IT架构正在从有边界向无边界转变。远程办公通过互联网接入公司总部，访问重要业务信息，任何用户的任何设备在任何位置（在家庭、咖啡厅、地铁等）都有可能接入。这种情况下如何确保权限安全？随着数字业务的发展，网络边界的消失导致基于网络位置的信任体系无法适应数字化转型，企业正在逐渐向更灵活、更安全的零信任框架迁移。零信任：不信任任何人，验证每个人，实施严格的访问控制和身份管理策略，以限制员工访问其工作所需的资源。

对比VPN

VPN是基于网络边界的一部分，可信的员工在内部，不可信的员工在外部。这种模型不再适用于现代商业环境，员工从内部或外部位置访问网络，公司资产多是位于云环境中。VPN无法解决内部攻击，如果攻击者窃取了某人的VPN凭据，就可以自由访问网络。对于承包商、第三方和供应链合作伙伴而言，它做得还不够好。

技术路径

零信任是一种理念，而不是一种技术，软件定义边界（SDP）、身份识别与访问管理（IAM）、微隔离（MSG）是实现零信任的三大技术路径。

• SDP客户端进行多因素认证，然后进入用户登录阶段；认证通过后，客户端才能够与服务建立连接。
• IAM具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。决定谁可以访问，如何访问，执行哪些操作。
• MSG微隔离是细粒度网络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境的流量隔离，阻止攻击者进入企业数据中心网络内部后的横向平移。

未来展望&应用场景

近年来零信任理念在不断发展、快速演变中，零信任可以减少数据泄露、拒绝未授权的访问，因此在数据安全方面价值巨大。零信任应用场景不仅仅是远程办公，SaaS营运安全、大数据中心、云安全平台等都是典型的应用场景。