1、零信任（Zero Trust，縮寫ZT）代表著業界正在演進的網絡安全最佳實踐，它將網絡防御的重心從靜態的網絡邊界轉移到了用戶、設備和資源上。

　　2、零信任安全模型假設網絡上已經存在攻擊者，并且企業自有的網絡基礎設施（內網）與其他網絡（比如公網）沒有任何不同，不再默認內網是可信的。

　　3、零信任架構（ZTA）的宗旨是減少對攻擊者的資源暴露，并在主機系統被攻陷時，最小化（或防止）攻擊在企業內部的橫向擴展。

　　4、零信任的重心在于保護資源，而不是網段，因為網絡位置不再被視為資源安全與否的主要依據。

　　5、根據該零信任原則，ZTA 環境不再包含對系統和用戶隱含的信任，該信任與物理或網絡位置（例如：局域網或互聯網）無關。因此在用戶和設備通過可靠的身份驗證和授權進行徹底地驗證之前，ZTA 不會授予其對資源的訪問權限。

　　6、NIST（美國國家標準與技術研究院）認為——向零信任架構的轉型是漫長的旅程，而不是簡單的置換企業現有基礎設施，預計大部分企業將以混合模式（即零信任模式與傳統模式）運作很長時間。

　　7、零信任模式并不是一個單一的網絡架構或技術產品，它是一套理念、戰略、架構。與一個組織如何評估其目標的風險相關。許多組織已經在企業基礎架構中擁有部分零信任元素。

　　8、基于邊界防御的網絡安全控制已顯示出明顯的不足，一旦攻擊者突破了邊界，進一步的橫向攻擊將不受阻礙。

　　9、零信任側重數據的保護。在零信任狀態下，這些保護通常涉及對資源（例如數據、計算資源和應用程序）的最小化授權訪問，僅提供給那些被識別為需要訪問的用戶和資產，并且對于每個訪問請求持續進行身份和權限的驗證。

　　10、零信任的概念早在“零信任”一詞出現以前就一直存在于網絡安全領域之中。國防信息系統局（DISA）和國防部（DoD）最早發布了他們的更安全的企業戰略研究工作，稱為“黑核”（BCORE）。

　　11、“零信任”概念最早是由約翰·金德瓦格（John Kindervag）在 Forrester 報告中提出的。

　　12、零信任的前提是信任從來不應該被隱式授予，而是必須進行持續地評估。

　　13、零信任是一種端到端的網絡安全架構，包括身份、證書、訪問管理、操作、終端、宿主環境和互聯基礎設施等因素。

　　14、零信任允許授權主體（用戶、應用、和設備的組合）的訪問，同時消除其他所有主體（例如，攻擊者）對數據和服務的非授權訪問。

　　15、所有數據源和計算服務均被視為資源。

　　16、無論網絡位置如何，所有通信應以最安全的方式進行，保證機密性和完整性，并提供源身份認證。

　　17、對企業資源的訪問授權是基于每個連接的。每個連接都對請求者的信任進行評估。

　　18、對資源的訪問權限由動態策略決定，包括客戶身份、應用、用戶行為屬性、設備特征（如：已安裝的軟件版本、網絡位置、請求時間和日期、以前觀測到的行為、已安裝的憑證等）。

　　19、行為屬性包括自動化的用戶分析、設備分析、度量到的與已觀測到的使用模式的偏差。

　　20、零信任策略是一系列基于組織機構分配給用戶、數據資產或應用的屬性的訪問規則集。

　　21、資源訪問和操作權限策略可以根據資源/數據的敏感性而變化。

　　22、沒有設備是天生可信的。企業需要確保所有設備處于盡可能最安全的狀態，并監視設備資產以確保它們保持盡可能最安全的狀態。具有已知漏洞或不受管控的設備需要區別對待。

　　23、在訪問被允許之前，所有資源訪問的身份驗證和授權是動態持續評估的循環過程（如基于時間的、新的資源請求、檢測到異常用戶活動）。

　　24、整個用戶交互過程應該持續地監視，根據策略的定義和執行，可能進行重新的身份認證和重新授權。

　　25、企業應該收集盡量多關于網絡基礎設施和通信當前狀態的信息，并將其應用于提高網絡安全狀況。

　　26、零信任核心組件

　　a. 策略引擎（PE）：負責用戶授權。使用企業安全策略以及來自外部信息源（例如 IP 黑名單、威脅情報服務）作為“信任算法”（TA）的輸入。

　　b. 策略管理器（PA）：生成客戶端用于訪問企業資源的任何身份驗證令牌或憑證。策略引擎（PE）與策略管理器（PA）組件配對使用。策略引擎做出并記錄決策，策略管理器執行決策（批準或拒絕）。

　　c. 策略執行點（PEP）：負責啟用、監視并最終終止訪問主體和企業資源之間的連接。分為兩個不同的組件：客戶端（例如，用戶筆記本電腦上的 Agent 代理程序）和資源端（例如，在資源之前部署的訪問控制網關）。

　　27、零信任常見方案之一：基于軟件定義邊界（SDP）的ZTA客戶端安裝agent，用戶希望通過筆記本電腦連接到一個特定企業資源（例如，人力資源應用程序/數據庫）。該訪問請求由本地代理 Agent接收，然后將請求發送給策略管理器（PA）。策略管理器 PA 將請求轉發到策略引擎PE 進行評估。如果請求被授權，則設備上Agent代理程序與對應的資源網關Gateway之間配置一個連接通道。加密的應用程序數據流開始工作。

　　28、零信任常見方案之二：基于安全區的部署

　　網關組件不駐留在某個資源的前面，而是駐留在資源安全區（例如，本地數據中心）的邊界上。該模型適用于比較陳舊的應用程序或者在無法獨立部署網關的本地數據中心。缺點是網關只能保護一組資源而非每個獨立的資源，這將導致訪問主體可能會看到一些他們不該看到的資源。

　　29、零信任常見方案之三：基于資源門戶的ZTA無需在所有客戶端設備上安裝軟件組件。但是，來自訪問請求的設備的信息也會非常有限。此模型只能在資產和設備它們連接到 PEP 門戶時進行一次性的掃描和分析，但無法持續地進行惡意軟件和正確配置的監控。

　　30、零信任常見方案之四：設備應用沙箱

　　用戶在設備上的沙箱中運行已批準和審查過的應用程序。該應用程序可以與 PEP 通信以請求訪問資源，但 PEP 將拒絕來自該設備資產上的其他應用程序。獨立運行在沙盒的程序也能免受主機上潛在的惡意軟件感染。但這種模型有一個缺點，就是企業必須為所有設備資產維護這些沙盒中應用程序。

　　31、信任算法：對于已經部署零信任架構 ZTA 的企業，策略引擎 PE 可以看作是大腦，而PE 的信任算法（TA）則是其主要的思維過程。PE根據信任算法的得分來最終授予或拒絕對資源的訪問。

　　32、信任算法的輸入包括：

　　a. 用戶操作系統版本、使用的應用程序和補丁級別等設備資產安全狀況。

　　b. 用戶的賬號角色及身份屬性包括時間和地理位置、過去觀測到的用戶行為的數據等。

　　c. MFA 網絡位置（例如，拒絕來自海外 IP 地址的訪問）、數據敏感度（有時稱為“數據毒性”）和資產配置。

　　d. 威脅情報，包括攻擊特征和緩解措施等。

　　33、信任算法的實現：

　　a. 基于分數：如果得分大于資源的配置閾值，則授予訪問權限或執行操作。否則，請求被拒絕。

　　b. 基于上下文：評估訪問請求時考慮用戶或網絡代理的最近歷史記錄。當攻擊者行為與平常不同時，攻擊能被檢測到，觸發額外的身份驗證或者資源請求拒絕。例如，如果一個機構的人力資源部門的員工通常在一個典型的工作日訪問 20 到 30 個員工記錄，如果訪問請求在一天中突然超過 100 個記錄，基于上下文的 TA 可能會發送警報。

　　34、零信任的使用場景之一：分支機構訪問總部

　　員工希望從任何工作地點可以方便安全地訪問公司資源。外部地區的員工可能沒有完全企業擁有的本地網絡，但為了執行工作任務仍然需要訪問企業資源。企業可能希望授予員工日歷、電子郵件等某些資源的訪問權限，但拒絕其訪問或限制操作更敏感的資源（例如，人力資源數據庫）。

　　35、零信任的使用場景之二：企業使用了多個云提供商

　　應用程序托管在與數據源分離的云服務上。考慮性能和便于管理，云提供商 A 中托管的應用程序應該能夠直接連接到托管在云提供商 B中的數據源，而不應強制應用程序通過企業網絡連接。

　　36、零信任的使用場景之三：第三方訪客或外包服務人員的訪問

　　企業有自己的內部應用程序、數據庫和資產，其中包括外包給供應商偶爾需要在現場提供維修的服務（例如，由外部供應商擁有和管理的智能供暖和照明系統，即 HVAC）。這些訪客和服務提供商需要網絡連接以執行任務。實施零信任原則有助于企業在允許這些設備和來訪的技術人員訪問互聯網的同時隱藏企業資源。

　　37、零信任的使用場景之四：跨企業協作

　　一個項目涉及企業 A 和企業 B 的員工。企業 A 運維項目需要使用數據庫，但必須允許企業 B 中的某些成員訪問數據庫中的數據。

　　38、在從零新建的系統可以實施建立一個零信任架構。但任何一個具備規模的企業不太可能在單一的技術更迭周期內全部遷移到零信任。零信任架構工作流程在傳統企業中可能會有一段不確定的共存期。

　　39、在將零信任架構引入企業之前，應該對資產、用戶、數據流和工作流進行調查。這是零信任架構部署之前必須達到的基礎狀態。

　　40、對于一個零信任企業來說，PE 必須對企業主體有一定的了解。主體可以包括人和非人類實體（NPE），如與資源交互的服務賬戶等。擁有特殊權限的用戶，如開發人員或系統管理員，在被分配屬性或角色時，需要進行額外的審查。

　　41、零信任架構的關鍵要求之一是識別和管理設備的能力。這包括硬件組件（如筆記本電腦、電話、IoT 設備）和數字制品（如用戶賬戶、應用程序、數字證書）。企業必須能夠配置、調查和更新企業資產，例如虛擬資產和容器等企業資產。還包括其物理位置（作為盡量預估）和網絡位置。在做出資源訪問決策時，這些信息應該為策略引擎 PE 提供參考。

　　42、利用基于云的資源或由遠程員工使用的業務流程通常是零信任架構的良好候選對象。

　　43、企業應該從低風險的業務流程開始向零信任架構過渡，因為業務中斷可能不會對整個組織產生負面影響。一旦獲得足夠的經驗，更關鍵的業務流程就可以成為候選對象。

　　44、在確定資產或工作流后，確定所有使用或受工作流影響的上游資源（如身份管理系統、數據庫、微服務）、下游資源（如日志、安全監控）和實體（如用戶、服務賬戶）。這可能會影響作為第一次遷移到零信任架構的待選對象選擇。

　　45、如何選擇零信任方案？因素一：該解決方案是否要求在終端資產上安裝組件？這可能會不利于使用非企業自有資產訪問的業務流程，如 BYOD 或跨機構協作等。

　　46、如何選擇零信任方案？因素二：在業務流程資源完全存在于企業本地的情況下，該解決方案是否可以工作？有些解決方案假設所請求的資源部署在云端（所謂的南北流量），而不是在企業邊界內（東西流量）。

　　47、如何選擇零信任方案？因素三：該解決方案是否提供可以進行分析的交互記錄？零信任的一個關鍵組成部分是收集和使用與流程流相關的數據，在做出訪問決策時，這些數據會反饋到 PE 中。

　　48、新的零信任業務工作流可以在一段時間內以“報告模式”運行，以確保策略是有效和可行的。報告模式意味著應該對大多數請求授予訪問權限。

　　49、有一種誤解認為零信任架構 ZTA 是一個帶有解決方案集合的單一框架，且與現有的網絡安全觀并不兼容。而實際上，零信任應該被視為當前網絡安全戰略的演變，因為許多概念和想法已經存在發展了很長時間。

　　50、采取單一廠商解決方案完成零信任架構是不可能的，而且這樣還會導致供應商鎖定。許多產品專注于 ZTE內部的單個市場定位，并依賴于其他產品來向另一個組件提供數據或某些服務。（例如，為資源訪問而集成多因素認證（MFA））。

　　51、云安全聯盟（CSA）已經為軟件定義邊界（SDP）開發了一個框架，該框架在 ZTA 中也很有用。

　　52、面對 ZTA，攻擊將如何演變？一種可能性是旨在竊取憑證的攻擊可能會擴展為以MFA（多因素認證）為目標（例如網絡釣魚、社會工程）。另一種可能性是，在混合型 ZTA 或邊界防御為主的企業中，攻擊者將重點關注尚未應用 ZTA 原則的業務流程（即執行傳統的基于網絡邊界的安全策略的那些）。