什么是零信任安全？

从业多年的安全专业人员见多识广。一切都与强密码、防火墙和防病毒软件以及保持软件修补有关。随后，《医疗保险可携性和责任法案》(HIPAA) 和《支付卡行业数据安全标准》(PCI DSS) 等要求将重点转移到特定于数据的保护措施，包括基于身份的访问控制和加密。云技术和移动设备带来了更多新工具、流程和培训。

当然，攻击者也改变了他们的策略。为了应对攻击，积极主动的企业越来越多地使用零信任原则来加强安全态势，保护资产免受未经授权的访问和操纵。这些企业采取“从不信任，总是验证”的立场，使用细粒度隔离来限制攻击面，并假设敌人已经进入大门，

专注于缩小损失范围。

什么是零信任安全？

零信任安全模型使用频繁的用户身份验证和授权来保护资产，同时持续监视违规迹象。该模型通过隔离技术来限制哪些数据和资产无需实体进行重新验证即可访问。由于零信任假定网络已被威胁渗透，因此安全措施是深入实施的，而不是简单地在外围实施，这就是所谓的“城堡和护城河”模型。

零信任安全也称为零信任架构或无边界安全，主要假设没有任何一个设备或应用是可以全面信任的，无论是在网络内部还是外部，因此必须进行电子邮件验证。访问权限将根据请求的情境、信任级别和资产的敏感度进行授权。零信任架构对于使用云技术应用并且拥有大量远程员工和位置的企业尤其有效。

零信任架构使用安全模型来验证每个用户、服务和设备，然后再在有限的时间内授予对网络中某个限定段的访问权限。

关键要点

• 零信任安全将网络防御从静态的、基于网络的边界转移到用户、资产和资源上。
• 如今，大多数企业都受到数据隐私法规的约束，这些法规强调细粒度的访问控制，也就是零信任原则。
• 零信任意味着：每个用户、设备和应用都需要频繁进行强有力的验证。
• 微隔离可将网络划分为包含的区域并控制各个区域之间的移动，这是实现零信任安全的关键。

零信任安全详解

美国国家标准与技术研究所 (NIST) 将零信任定义为一系列不断发展的网络安全范例，可将防御重点从基于网络的静态边界转移到用户、资产和资源上。零信任假定，资产或用户账户不会仅因物理或网络位置（局域网与互联网）或资产是企业还是个人所有而获得隐含信任。

零信任安全消除了隐式信任，依赖于强大的身份和访问管理 (IAM) 控制，让企业能够只允许授权的人员、设备和应用访问系统和数据。零信任安全方法有一些关键原则：

• 以威胁者已经在网络中运行为前提，因此 IT 应该假定存在违规行为。
• 零信任环境默认拒绝访问；查询所有技术和人力资源以在事务处理级别提供授权/认证。
• 资产保护的级别取决于价值。只能在经过验证并具有所需授权的情况下访问资源。此外，应持续验证权限并应撤消不需要的访问权限。
• 网络将被隔离，没有任何资产或空间不需要安全保障。
• 高级分析（通常使用 AI）用于发现异常行为并立即采取行动以锁定入侵者。

零信任也采取深度防御方法。深度防御有时也称为分层安全，涉及在系统内的不同点实施各种安全控制，以保护企业的网络、系统和数据。打个比方，这就像是一座具有多种防御措施的城堡，仅仅是闯过了护城河，并不能让您获得皇冠上的珠宝。城堡还有城门，一扇一扇坚固且带锁的门，以及炮塔上的弓箭手。

深度防御控制可以是物理、技术或管理措施。物理安全措施包括围栏、访问控制系统以及保安人员，主要负责保护数据中心。技术控制则包括防火墙、入侵检测/预防系统 (IDS/IPS)、数据加密和反恶意软件软件，旨在提供技术防御。行政措施，例如政策、程序、安全意识培训和出入控制等，这些主要针对人为的安全因素。

零信任模型的重要性

零信任模型非常重要，因为传统方法在隐式信任区域内或通过 VPN 连接时给予用户和设备自由支配，但这种方法根本不起作用。这些过时的边界防御模型无法保护我们的数据，因为组织边界不再局限于本地系统。远程工作人员和移动设备位于网络外围，而云技术的采用进一步扩大了安全边界。与此同时，网络攻击也持续复杂化，影响力更大了。勒索软件一旦攻击成功，企业可能会瘫痪并失去关键功能，同时导致敏感信息泄露。任何组织都无法幸免 — 攻击者已经成功勒索了大型企业、市政局甚至是医院。

由此可见，我们必须采取更积极的方法来保护我们的系统和数据。

随着云技术服务的使用范围迅速扩大，该技术也为网络犯罪分子创造了新的目标。其中一个常见案例是，犯罪分子会先窃取或猜测特权管理员或应用的凭据，然后就能够在整个网络中自由移动了。实施零信任可以对系统、网络和数据访问进行细粒度监管。这就是为什么越来越多的企业正在转向零信任安全模型，从而降低数据泄露的风险，检测网络安全事件，并防止网络攻击造成的损害。

联邦政府零信任安全框架

零信任是美国国防部 (DoD) 和整个美国政府关注的焦点。2021 年 5 月，白宫发布了第 14028 号行政命令，指示联邦机构通过采用安全优秀实践并推进零信任架构，从而保护和确保计算机系统的安全，官员们将此视为实现这一安全战略的重要工具。

团队可以使用多种模型和框架来帮助开发零信任架构。NIST 根据在 Special Publication 800-207 中发表的六个原则设计了一个模型。美国网络安全和基础设施安全局 (CISA) 近日发布了 Zero Trust Maturity Model 的 2.0 版，其中包含了五个支柱。

最后，美国国防信息系统局 (DISA) 发布了一个参考架构，将企业技术与七大支柱相匹配。

所有这些机构都致力于帮助企业采用零信任战略。这些模型及其相关架构为企业搭好了框架，有助于确定取得成功所需的预算和努力。

零信任的工作原理

零信任的工作原理是，永远不要对数据、应用或资源请求抱有隐式信任，并假设请求者可能是一个“坏人”。当您从这个角度审视安全性时，就会发现您所需的工具和策略在细粒度上达到了新的水平。想要开发一个零信任安全架构，首先需要识别敏感数据和关键应用以及获得授权的用户和数据流。其中要有一个包含了策略控制器的控制层，而自动化和编排至关重要。IT 团队绝对不可能独自做到所需的警惕程度，必须借助集成的方法以及 AI/ML。

零信任架构遵循 NIST 所列出的六个原则。

• 所有数据源和计算服务都被视为在安全考虑范围内的资源。任何资源都不可遗漏。
• 无论网络位置如何，所有通信都必须是安全的 — 网络位置不影响信任关系。
• 针对单个企业资源的访问，每连接一次，授予一次访问权限；在授予访问权限前，对是否信任请求者进行评估。
• 是否授予资源访问权限由策略决定，包括用户身份和请求系统的可观察状态。评估则可能包括其他行为属性。
• 企业需要确保所有自有系统和相关系统处于高度安全状态并监测系统，以确保系统继续保持安全水平。
• 在授权访问之前，动态、严格执行用户身份验证；这是一个扫描和评估威胁、做出响应、连续验证身份的连续性过程。

零信任架构使用安全模型来验证每个用户、服务和设备，然后再在有限的时间内授予对网络中某个限定段的访问权限。

零信任的核心原则

我们可以从英国政府国家网络安全中心 (NCSC) 制定的八个零信任原则的视角来了解零信任的核心原则。这些原则构成了一个有用的框架，任何企业在开始构建零信任架构时都可以作为参考。

此外，实施零信任安全可能涉及企业的重大文化调整。

1. 了解您的架构，包括用户、设备、服务和数据

设计任何安全架构都需要很好地了解现有资产。大多数企业会定期记录和评估需要保护的用户、设备、服务和数据。为了实施零信任安全而进行的资产发现活动可能不仅仅是一项纯技术的活动，还涉及了审查项目文档和采购记录以及与同事沟通等任务。在很多情况下，各个部门和业务线已经实施了自己的系统。

2. 了解您的用户、服务和设备身份

身份可以与人工、应用或设备相关联。所有这些都需要经过识别，以确定是否应该对某人或某物授予数据或服务的访问权限。如前所述，企业逐渐向云端迁移，加速了传统网络边界的侵蚀。然后，身份被视为新的边界。身份平台提供了管理用户身份、属性和访问权限的功能。虽然您的身份平台可以作为主要身份存储库，但许多企业拥有多个身份管理系统。所有这些系统都需要被发现和管理，因为企业的目标是建立一个零信任架构。

3. 评估用户行为和服务以及设备健康状况

NCSC 建议持续监控来自用户和设备的“健康信号”。这些信号是行为和系统的指标，可让策略引擎评估可信度和网络卫生状况，从而拥有一定程度的信心来做出访问决策。例如，您可能会想要知道笔记本电脑尝试从哪个地理位置登录。对于美国东海岸的用户来说，在纽约时间凌晨 3 点尝试登录可能会引起注意。

4. 使用策略来授权请求

零信任架构的一个优点是，您可以定义由策略引擎执行的访问策略。在制定策略时，您需要考虑到我们提到的这些健康信号，包括历史和实时连接信息，从而确保请求者是真实的，且设备处于良好的网络健康状态。NCSC 建议，相较于影响较小的操作（例如检查工作计划），影响较大的操作（例如创建新的管理员级别用户或下载客户列表）需要满足更严格的策略要求。为零信任架构选择技术时，您需要评估供应商是如何收集信号并将其纳入访问控制的。供应商至少应涵盖用户的角色和物理位置、验证因素、设备运行状况、时间、要访问的服务值以及所请求操作的风险。

5. 随处验证和授权

如果我们假设网络是敌人，攻击者已经入侵系统，我们就会需要强大的身份验证方法和构建应用来接受来自策略引擎的访问决策。如果这种强大的身份验证不妨碍服务的可用性，您将在整个企业中看到更好的文化接受度。NCSC 建议，仅在请求影响较大时提示其他验证因素，例如敏感数据或特权操作（包括创建新用户）。您可以考虑使用单点登录、多因素身份验证和无密码身份验证方法，在所有服务中提供强大、一致且积极的用户体验。

6. 将监视重点放在用户、设备和服务上

监控软件应安装在设备上，这些系统生成的数据应通过安全传输机制（如 VPN）导出到中央位置进行分析。如果您允许个人设备或访客设备访问您的环境，可以考虑设置与可以完全监控的设备不同的信任程度。

7. 别相信任何网络，包括您自己的网络

NCSC 认为，零信任将网络视为敌对网络，并建议不要相信设备与其访问的服务（包括 LAN）之间的任何连接。访问数据或服务的通信应该使用安全传输，例如加密数据的传输层安全性 (TLS) 协议。NCSC 还建议监控 DNS 欺骗和中间人等攻击类型，拒绝未经请求的入站连接，并使用加密和封装。

8. 选择专为零信任而设计的服务

在零信任架构中，您无法信任网络，因此需要设计服务来保护自己免受潜在攻击的影响。某些遗留系统涉及大量且昂贵的改造工作，即便完成改造，也仍可能面临可用性问题。NCSC 建议不要“重新发明轮子”，而是选择为零信任架构设计和构建的产品和服务。如果可以，尽量使用基于标准的技术实现互操作性，例如 OpenID Connect、OAuth 2.0 或 SAML，并了解云技术服务对零信任的支持。

零信任的优势

一般网络安全态势专注于阻止来自网络边界以外的威胁，但无法防范内部的盗窃行为。边界安全依赖于防火墙、VPN、入侵检测系统以及网络犯罪分子可能会攻击的其他技术。这意味着，只要拥有正确的凭据，任何人都可以访问任意网络的站点、应用或设备。而在零信任安全方法下，无论是来自网络内部还是外部，任何人都默认不被信任。

此外，其他优势还包括：

• 减少攻击面。零信任执行“最小特权”原则，因此实际主动攻击面较小。没错，每个人、每件事都是可疑的。用户和设备只会获得执行其任务所需的最小访问权限，这限制了入侵事件造成的潜在损害。想象一下，某家精品店让客户一次只能访问一个产品，并密切监视客户，而不是让客户自由浏览 — 这就是“最小特权”的本质。每个资产都是攻击面，但访问将大大受限。
• 降低攻击的影响。战略性地将网络分为微分段，切断横向移动，一旦被攻击，仅会影响一小部分资产。现在，您已经对高价值的数据和系统应用了更严格的访问要求，因此攻击者只会获得一些微不足道的价值，而不是您的客户名单。
• 减少恢复时间和成本。零信任架构有助于降低攻击次数并改善控制，后续清理工作也需要更少的时间和金钱即可完成。限制横向移动可防止攻击者利用较低级别的访问权限进一步探索您的网络，而零信任原则可与数据丢失防护 (DLP) 解决方案良好结合，以防止敏感数据从网络中泄露。零信任也有助于大大减少对代价高昂的入侵通知工作的需求。
• 控制访问。在零信任的情况下，只有基于策略而非物理位置的授权用户和设备才能尝试访问，有效减少潜在入口点的数量。万一不良行为者通过泄露的凭据或易受攻击的设备获得访问权限，这种方法可以更轻松地映射控件并尽可能减少潜在的损害。
• 改善合规性。许多合规法规（如 GDPR 和 HIPAA）都强调了强大的访问控制机制的重要性。由于零信任执行“最小特权”访问权限，仅向用户授予其任务所需的最小权限，因此架构可以充分贴合合规性要求并限制对敏感数据的访问。
• 改善可见性和监视。零信任消除了对内信任网络边界内的个人或设备的概念。无论是谁、在哪里、用什么设备，都需要不断进行验证。通过记录这些交互，您可以尽可能提高可见性，并为监视系统提供必要的数据，以便在发生可能是入侵事件的异常情况时尽快通知 IT 团队。

零信任的使用场景

近年来，零信任安全的概念得到了广泛的关注，尤其是那些易受网络攻击的企业，例如处理敏感财务数据的银行、投资公司等金融机构，以及持有大量受隐私法规约束的患者数据的医疗机构。如上所述，政府机构也使用零信任来保护数据和关键基础设施。拥有现代化 IT 环境的企业，即深度依赖云技术应用和服务、拥有远程劳动力和/或需要维护大型复杂数字基础设施的企业也是零信任的粉丝。

在细粒度的层面上，零信任可以在以下领域发挥作用。

• 控制访问。以前，应用一般驻留在定义的网络范围内，例如本地办公室的服务器上。员工可以根据其位置进行访问，例如公司的本地 Wi-Fi 网络。如今，人们可以远程办公，应用也在全球各地运行。为了更轻松地管理访问，IT 可以部署一个中央控制系统（通常称为信任代理），以验证请求访问应用的用户，检查设备的安全性，并遵循"最小权限"原则，仅授予用户所需的特定资源的访问权限。
• 云安全性。对于任何使用云技术资源的企业来说，零信任是一个理想的策略。员工可以通过强大的身份验证流程来获取访问权限，一般使用多因素身份验证。然后，系统会考虑用户角色、设备、位置和特定云技术资源等因素，据此判断是否应授予访问权限。这可以充分减少云技术凭证失窃的相关损失。
• 数据保护。以网络为中心的安全模型仅使用基本的安全保护措施，例如用户名和密码，因此数据易受攻击。攻击者已经用行动证实了他们可以突破这些安保措施。零信任框架侧重于以数据为中心的策略和保护，例如为传输中的数据添加额外的加密层。IT 团队还可以使用基于属性的访问控制 (ABAC) 设置动态策略。传统的访问控制通常依赖于预定义的角色，例如管理员或编辑，而 ABAC 则侧重于属性，例如部门、位置、职位、安全许可、数据类型、文档所有者、访问方法以及设备的物理位置和类型。这种方法支持根据企业定义的属性，对访问权限进行非常精确的定义，从而实现高度细粒度的保护，通常也需要修改应用代码。
• 端点安全性。零信任平台通过主动与用户设备上的端点安全软件进行通信来评估安全状况，从而帮助保护资产。例如，操作系统是否为最新版本？是否检测到任何恶意软件？个人所有还是企业所有？然后，根据所收集的数据，零信任平台将决定是否授予或拒绝访问。零信任平台将会持续监控用户活动和设备的运行状况，及时发现任何可疑行为。
• 身份和访问管理。IAM 是 CISA 零信任模型的支柱 — 通过定义谁可以访问哪些资源，为架构奠定了基础。IAM 涉及强大的身份验证方法，包括多因素身份验证，以及用户配置和访问控制机制，例如基于角色的访问控制 (RBAC) 和特权访问管理，以保护敏感数据。
• 物联网 (IoT) 安全性。拥有物联网计划的企业经常会发现，零信任安全对于保护大量设备（通常在遥远的地方）和收集敏感数据至关重要。传统的基于边界的安全技术对于物联网设备根本无效，这些设备可能具有有限的用户界面并依赖于自动化进程，旧的身份验证方法实施起来有一定的难度。零信任会持续验证请求访问的所有实体，可确保只有授权的物联网设备才能连接到网络。“最小特权”原则意味着物联网设备可以获得运行所需的最小访问权限。一旦设备被攻击，可以有效降低损失。零信任方法也支持扩展，可以适应大规模的物联网环境。
• 网络分段。传统的网络安全专注于保护网络边界，而零信任采用更细粒度的方法，将网络划分为多个小区域，并控制各个区域之间的流量。较新的零信任策略还会使用微分段技术，进一步缩小区域。这是通过使用分段与分段之间的防火墙而不是路由器来实现的。虽然安全性有所提高，但性能可能会受到影响。分段的大小取决于安全需求和防火墙性能。
• 特权访问管理 (PAM)。零信任和 PAM 是两个不同的安全概念，彼此可以很好地协同工作。PAM 系统专门侧重于保护特权账户，也就是说，用户账户拥有更大的权限，可以授予他人关键系统和数据的访问权限。这些账户是攻击者的主要目标，比如能够访问所有财务和银行记录的 CFO，或者是高级系统管理员。PAM 依赖于三大支柱：多因素身份验证；只在绝对需要时，授予特权访问权限的即时工具；会话监控和日志记录，可以准确记录特权用户在任何特定时刻所做的事情，以便发现可疑行为。
• 远程访问。随处办公的兴起成了支持零信任的一个论据，这种模式打破了网络边界，而 VPN 又会带来一系列的问题。零信任策略能够使授权远程访问更安全，通过强身份验证方法，在没有用户干预的情况下不断验证用户，然后仅授予远程用户执行其任务所需的最小访问权限。企业可以编写策略来定义最小访问权限。零信任还可以识别上下文；也就是说，在确定访问权限时，该策略会考虑包括用户身份、设备安全态势、位置和正在访问的特定资源等因素。
• 第三方访问。在零信任环境中授予第三方访问权限，需要从传统的方法转变为“从不信任，总是验证”。除了上述远程访问原则外，企业也需要设置 IAM 系统来管理第三方用户身份和访问。企业可以制定基于单个合作伙伴的账户创建、预配和终止策略。然后，考虑使用零信任网络访问 (ZTNA) 系统，在不授予对整个网络的访问权限的情况下，为特定资源预配安全隧道。面向授权内部用户的即时和会话监视工具也适用于合作伙伴。

零信任实施的七个阶段

实现零信任是一个持续性的过程，而不是一次性的项目。您也不必“重新发明轮子”，而是可以考虑使用 NIST、CISA、DISA 或 NCSC 中的一个模型作为技术路线图。从项目层面来看，您可以制定零信任的阶段性实施计划，尽可能减少干扰，并允许员工、合作伙伴和 IT 人员进行调整。明确向利益相关方传达实施计划背后的目的，以透明的方式解决任何顾虑。谨慎选择能够扩展以适应增长和不断变化的安全现实环境的安全产品。

更多成功步骤：

1. 确定资产及其优先级。零信任安全方法旨在保护敏感和有价值的数据。为此，您需要先知道您拥有什么资产。这将为您的零信任计划奠定基础。

2. 确定您的用户及其要求。零信任模型需要捕捉用户信息、管理用户身份以及组织访问权限。列出目前正在访问资产的所有人员和系统，并找出非必要的权限。

3. 制定零信任策略。根据资产和用户，制定计划来降低风险。制定每个阶段的时间表时，将预算、IT 资源和基础设施复杂性等因素纳入考虑范围内。

4. 深入了解数据。当系统发现数据访问异常并检测到试图访问政策之外的系统时，请仔细查看该数据。由于几乎所有访问活动都是重复性活动，因此企业可将访问异常视为数据盗窃事件的先兆。您可以将这些信息用于您的应对方案。

5. 绘出流量图。此处的重点在于“零”依赖项。对于那些能够访问包含敏感数据的数据库的人和系统，他们是否真的需要这些信息？

6. 尽可能实现自动化。改善流程和工具以填补空白。例如，如果无法自动监视资源和活动，企业就不可能在零信任方面取得成功。做好零信任工作需要现代化的安全工具，包括强大的 IAM 系统来集中管理用户身份和访问权限，以及多因素身份验证 (MFA) 来审核所有访问尝试。静态和动态数据加密是保护敏感数据免受未经授权访问的关键。

7. 制定指标。制定定义以衡量零信任实施是否成功。其中，关键绩效指标包括访问权限减少、多因素身份验证使用增加以及高管和业务部门主管的支持。

11 个零信任优秀实践

CISA 在其零信任模型中指出，大多数大型企业（包括联邦政府）都面临着共同的挑战。传统系统经常依赖于“隐式信任”，很少根据固定属性来对访问和授权进行评估。要想改变这种做法，可能需要大量的投资以及广泛的利益相关方（包括高管、合作伙伴和供应商）的参与。其中一些优秀实践包括：

1. 核实和验证。零信任的基础是要求每个用户和设备在每次请求访问系统、网络和数据时进行身份验证。该过程涉及验证用户身份及其对特定系统的相关访问权限。例如，员工可能在早上的一段固定时间内使用授权服务（例如 OAuth）进行身份验证，该服务会授予在某段时间内有效的令牌。当该名员工需要访问数据库时，该令牌会确认他已获得对该系统的访问权限。零信任还为设备提供高级控制，例如行为分析。此功能，再加上日志和日记账，可帮助 IT 团队跟踪活动、创建报告并实施策略。

2. 使用微分段。粒度越细，就能更好地限制横向移动，而不会降低性能。CISA 建议采用基于应用架构的分布式入口/出口微边界和广泛的微分段，以及动态的即时和足够的连接。但这并不意味着到处都需要设置防火墙。微分段技术涵盖了每个应用的虚拟机、东西向流量加密以及在物理网络内创建软件定义网络，能够有效隔离和保护各个分段。智能路由算法可帮助优化流量并减少延迟。定期监测和微调细分策略，对于平衡网络性能和安全性也至关重要。

3. 持续监视。零信任需要实施能够监视和记录用户活动和系统运行状况的系统。根据已知的危害指标进行网络监视，了解如何随着时间的推移改进流程，以消除可见性方面的差距。使用能够利用 AI 的系统，让系统学习什么是正常行为，发现异常情况并发出警报。

4. 情境感知的日志记录。日志条目包含了访问尝试和情境化信息，例如用户身份、设备详细信息和访问的特定资源。通过对这些数据进行全面分析，有助于识别潜在的安全事件或可疑活动。监视系统会创建详细的审计日志，有助于证明企业遵守了要求数据访问跟踪的法规。不仅如此，支持 AI 的工具还可以改善检测。

5. 普适加密。对于大多数企业而言，数据属于重要资产，要保护静态、传输中和使用中的数据，就需要通过普适加密和活动监控来检测未经授权的访问尝试。

6. “最小特权”访问权限。在零信任的背景下，“最小特权”访问是一个核心且不言自明的原则。该原则要求仅向用户、应用和设备授予执行其任务所需的最小访问权限。这并不意味着对员工缺乏信任，而是为了在不良行为者通过被盗凭据、受损设备或漏洞入侵成功时，能够尽可能减少可能发生的损失。

7. 重视设备可信度。基于零信任原则的网络本身并不信任任何设备，无论设备是否在边界内、是否为企业所有或是否曾获得访问权限。这是为了确保只有经过授权且合规的设备才被授予访问权限。在这种情况下，合规性可能涉及满足安全态势要求，例如安装更新的软件、防病毒保护和其他监控软件。

8. 安全访问控制。零信任已扩展到当今许多企业都在使用的基于云技术的应用和工作区。该架构要求这些应用具有已知和已批准的安全态势及其相关的访问控制。

9. 零信任网络访问。ZTNA 也称为软件定义的边界，是一种安全方法。相较于在用户验证后授予对整个网络的访问的传统 VPN，ZTNA 能够以比传统 VPN 更细粒度的方式控制对内部应用和资源的访问。每次请求访问资源时，ZTNA 都会评估安全凭证。系统会基于情境判断是否只授予部分访问权限。如果决定授予访问权限，则通过请求实体和特定资产之间的安全会话进行授权。然后，系统将持续监视活动和设备运行状况，以发现可能表明存在威胁的异常行为。

10. 端点安全性。是否有用户没有及时更新软件版本或恶意软件签名，或拒绝在个人设备上安装安全软件？零信任将强制执行这些行动，如果一个端点缺乏由您的政策定义的安全配置文件，该端点将无法获得访问权限。IT 团队应该管理企业设备的端点安全，并且在发起新会话时验证合规性。

11. 用户教育和意识。员工对零信任原则感到不满是很正常的一件事，至少一开始是这样的。为此，企业可以尝试提供教育课程，通过具体的例子，说明该架构如何帮助企业节省资金和降低声誉影响。

顺利实现文化过渡的策略

一旦用户进入网络边界，传统网络安全模型通常会假设一定程度的信任。而零信任却挑战了这一行为，对于 IT 人员和习惯于不受限制地访问网络的用户来说，这可能是一个重大的心态转变。

此外，零信任还强调强大的身份和访问管理实践，包括更严格的密码策略、多因素身份验证以及更集中的用户身份和访问权限管理方法。同样地，那些习惯使用较宽松的访问控制的用户可能会发现这变得更不方便了。零信任涉及对用户活动和设备健康状况进行更细致的审查，这可能会引起一些员工对个人隐私的担忧，让他们觉得自己的行为受到了过于密切的监视。有些员工也会拒绝在其个人设备上安装强制性软件。那么，您会如何应对呢？不仅如此，安全性、网络运营和应用开发专业人员也可能因此抱怨。

至此，您已经了解了大致情况。这是一个文化转型，而转型是否成功取决于用户是否买账。其中，能够助您顺利过渡的战略包括：

明确沟通实施零信任背后的原因，强调提高安全性和合规性的优势。公开回答有关员工隐私的问题，并解释零信任如何能够真正保护他们的数据。

分阶段实施，让员工、合作伙伴和 IT 人员有时间逐步适应新的安全措施。优先实施零信任，尽可能减少工作流中断并保持积极的用户体验。在这个过程中，基于云的技术可以为您提供很多帮助。

全面培训，涵盖零信任原则、访问控制过程以及在新环境中安全使用资源的优秀实践。

承认所涉及的文化转型并感谢大家的努力，对于成功采用零信任并创建更安全、更有弹性的 IT 环境大有裨益。

零信任安全的历史

2004 年，Paul Simmonds 在 Jericho Forum 论坛上发表演讲，首次提出了零信任的概念。Simmonds 创造了“去边界化”一词，并提出了一种新模式，基本上认为大多数漏洞都可以轻易突破边界安全。接着，他补充道，入侵检测技术在边界处几乎没有任何作用，我们离数据越近，就越容易保护数据，而强化的边界策略并不是一个可持续的策略。

2011 年，Google 创建了 BeyondCorp，这是该公司对于实施零信任的一次尝试。BeyondCorp 不是一个独立的产品，而是一组工具和优秀实践，最初是为了支持远程办公和消除 VPN 的使用而开发的。Google Cloud 提供了各种服务，实施这些服务可以实现 BeyondCorp 安全态势。

然后，在 2020 年 8 月，NIST 发布了 Zero Trust Architecture 文档，其中包含了零信任架构 (ZTA) 的抽象定义，并提供了部署模型和用例，展示了零信任可以改善信息技术安全态势。2021 年 5 月，美国白宫发布了关于改善国家网络安全的行政命令，将零信任撰为成文法则，并在同年 9 月发布了 CISA 的零信任成熟度模型 1.0 版，以补充行政管理与预算办公室的联邦零信任战略。CISA 的模型为美国联邦机构和企业提供了路线图和资源，有助于建立一个零信任环境。

2022 年 1 月，美国行政管理与预算办公室发布了 M-22-09 备忘录，标题为《推动美国政府走向零信任网络安全原则》。截至同年 7 月，由 DISA 和国家安全局 (NSA) 零信任工程团队编制的美国国防部 (DoD) 零信任参考架构正式面世。该架构为加强网络安全提供了最终状态的愿景、战略和框架，并指导现有能力的演变，从而专注于以数据为中心的战略。此 DISA 架构是企业迁移到云端的理想模式。

利用 Oracle Cloud Infrastructure 采用零信任

为了帮助企业实施零信任原则，Oracle 安全优先方法需要明确的政策来授权访问 Oracle Cloud Infrastructure (OCI)。这意味着每个组件都被视为是 OCI 中的资源，必须明确授予访问权限。OCI 中的所有通信都会经过加密，并根据现有政策检查访问权限。这些策略可以进行结构化，以对每个资源进行高度细粒度的访问控制，包括实施动态访问。

OCI 能够监视和审计云技术资源，支持您使用现有对象存储执行分析，也可以使用您所选择的安全信息和事件管理 (SIEM) 工具。Oracle Cloud Guard Instance Security 可自动响应触发的事件，帮助加快解决潜在威胁的响应时间。

企业之所以选择实施零信任，是因为他们意识到传统的安全策略不足以应对当今的威胁。当所有利益相关方都明白攻击者可能已经进入网络时，他们往往都能够接受更严格的控制，进而降低了攻击成功的风险，更好地保护敏感信息，并与合作伙伴和客户建立信任。

零信任安全的常见问题解答

零信任的五大支柱是什么？

根据网络安全和基础设施安全局近日发布的零信任成熟度模型第 2 版，零信任的五大支柱分别是身份、设备、网络、应用和工作负载以及数据。这五个支柱将构成一个全面的安全策略，持续验证所有用户、设备、应用和访问请求。这种分层的方法旨在使攻击者更难有立足点。

零信任有哪四大目标？

零信任安全的四个主要目标是：限制攻击面；通过强大的身份验证、“最小特权”访问权限控制和持续监控来增强企业的安全态势；为员工和合作伙伴提供能够从任何设备安全获得的工具，包括云技术服务；以及提高合规性。