零信任是新一代網絡安全理念，并非指某種單一的安全技術或產品，其目標是為了降低資源訪問過程中的安全風險，防止在未經授權情況下的資源訪問，其關鍵是打破信任和網絡位置的默認綁定關系。

一、零信任安全模型的核心理念可以概括為以下幾點：
1. 基于身份的訪問控制：不是網絡位置，而是實體的身份成為授權訪問的關鍵。所有用戶和設備在被允許訪問資源之前都必須經過嚴格的身份驗證和授權檢查。
2. 持續的信任評估：授權決策不再依賴于傳統靜態標準，如用戶的地理位置或網絡內部/外部。相反，零信任模型要求對用戶的行為和環境進行連續監控，并根據實時數據動態調整訪問權限。
3. 動態訪問管理：系統會不斷監測用戶的行為、設備狀態和網絡環境，以便在任何必要時刻迅速調整訪問權限，確保只有合規的活動能夠獲得所需資源的訪問。
4. 最小化權限原則：按照“只必需”的原則來分配權限，確保用戶和設備只能訪問完成特定任務所必須的最少資源。這有助于限制一旦發生安全事件時影響的范圍。

二、零信任安全模型的組成部分NIST 800-207標準文檔中提及的三類技術架構具體如下：
1.SDP (軟件定義邊界)：它主要用于控制從用戶端到業務應用的訪問，即南北向訪問控制。這通常適用于遠程辦公等場景，其中用戶需要從外部網絡訪問內部資源。SDP確保只有經過驗證的用戶才能訪問應用，無論他們的物理位置如何。
2.MSG (微隔離)：這種架構用于在數據中心內部，即東西向的訪問控制。微隔離技術確保了數據中心內的各個系統和應用程序之間的通信是安全的，限制了潛在的橫向移動，從而降低了一個系統被破壞會影響到其他系統的風險。
3.IAM (增強型身份治理)：聚焦于身份管理和認證以及權限管理。增強型身份治理確保只有具備適當憑證和權限的用戶才能訪問敏感資源。這包括多因素認證、單點登錄、屬性基訪問控制等技術的應用

三、零信任應用場景
1. 遠程辦公：隨著遠程辦公的普及，當員工需要在家中或其他地點訪問企業資源時，零信任可以確保只有經過身份驗證和授權的用戶才能訪問網絡資源，無論他們身在何處。
2. 多云和混合云環境：組織可能使用來自不同云服務提供商的服務，或者同時使用公有云和私有云。零信任策略可以幫助統一管理復雜的多云和混合云環境中的訪問權限，并確保數據安全。
3. 合作伙伴和第三方訪問：組織通常需要與合作伙伴、供應商和其他第三方共享資源。零信任可以為這些外部實體分配臨時訪問權限，并限制其訪問范圍，防止數據泄露。
4. 內外網混合辦公：為企業職場、分支提供內外網一致的訪問體驗，解決內網權限策略腐化、失效等安全問題，實現基于身份的訪問控制和動態評估，減少安全運維工作量、提升實際安全效果。
5. 攻防演練安全加固：在常態化安全攻防場景中，可以通過零信任收縮暴露面，事前安全加固、事中檢測及阻斷、事后溯源審計，以此來提高攻擊者攻擊成本。
6. 終端數據防泄密：通過BYOD終端訪問研發、設計、制造、公文、財務等敏感數據時，會帶來數據泄密風險，可以通過零信任終端數據防泄密，來提高終端數據安全性。

四、零信任網絡的部署模式

實現零信任訪問控制的方式多樣，以適應不同組織的獨特需求和現有資源。以下是幾種典型的零信任部署模式：

1. 本地部署（On-premises）：在這種模式下，零信任網絡架構被配置在公司自己的數據中心或內部網絡環境中。這適合那些需要對安全基礎結構有高度控制權的企業。不過，這可能需要較高的初始資金投入以及專業知識，以便構建和維護這個系統。
2. 云托管（Cloud-hosted）：在這種模式下，零信任解決方案是部署在云服務提供商的基礎架構上的。這種方案的優勢在于其靈活性較高，能迅速適應組織的變化和發展。與本地部署相比，云托管通常具有更低的起始成本和更簡便的維護程序。
3. 混合部署（Hybrid）：混合部署結合了本地和云托管的特點，通過兩者的優勢來達成組織特定的安全目標。根據組織的安全政策和資源狀況，可以靈活地在本地數據中和云端之間進行選擇和調整。
4. 軟件即服務（SaaS）：基于零信任模型的身份和訪問管理（IAM）解決方案可以通過SaaS模式來實現。這種方式免除了企業自行維護底層基礎設施的需求，能夠迅速支援并實踐零信任策略。

選擇合適的部署模式時，應綜合考慮組織的具體需求、資源狀況和安全策略。例如，對于那些需要對基礎結構擁有高度控制權的組織而言，本地部署可能更為理想；而如果追求易用性和靈活性，則云托管或SaaS方案可能更加適宜。最關鍵的是，所選的部署模式應當能夠滿足組織的網絡安全需求，并能隨時調整以應對不斷演變的網絡威脅。

我們擁有專業的技術人員和優質的服務團隊，結合國內外廠家：深信服、華為、Fortinet（飛塔）、思科、天融信、綠盟等為您的企業提供專業的零信任解決方案，為您節省成本、提升效率。

審核編輯 黃宇