1、零信任（Zero Trust，缩写ZT）代表着业界正在演进的网络安全最佳实践，它将网络防御的重心从静态的网络边界转移到了用户、设备和资源上。

　　2、零信任安全模型假设网络上已经存在攻击者，并且企业自有的网络基础设施（内网）与其他网络（比如公网）没有任何不同，不再默认内网是可信的。

　　3、零信任架构（ZTA）的宗旨是减少对攻击者的资源暴露，并在主机系统被攻陷时，最小化（或防止）攻击在企业内部的横向扩展。

　　4、零信任的重心在于保护资源，而不是网段，因为网络位置不再被视为资源安全与否的主要依据。

　　5、根据该零信任原则，ZTA 环境不再包含对系统和用户隐含的信任，该信任与物理或网络位置（例如：局域网或互联网）无关。因此在用户和设备通过可靠的身份验证和授权进行彻底地验证之前，ZTA 不会授予其对资源的访问权限。

　　6、NIST（美国国家标准与技术研究院）认为——向零信任架构的转型是漫长的旅程，而不是简单的置换企业现有基础设施，预计大部分企业将以混合模式（即零信任模式与传统模式）运作很长时间。

　　7、零信任模式并不是一个单一的网络架构或技术产品，它是一套理念、战略、架构。与一个组织如何评估其目标的风险相关。许多组织已经在企业基础架构中拥有部分零信任元素。

　　8、基于边界防御的网络安全控制已显示出明显的不足，一旦攻击者突破了边界，进一步的横向攻击将不受阻碍。

　　9、零信任侧重数据的保护。在零信任状态下，这些保护通常涉及对资源（例如数据、计算资源和应用程序）的最小化授权访问，仅提供给那些被识别为需要访问的用户和资产，并且对于每个访问请求持续进行身份和权限的验证。

　　10、零信任的概念早在“零信任”一词出现以前就一直存在于网络安全领域之中。国防信息系统局（DISA）和国防部（DoD）最早发布了他们的更安全的企业战略研究工作，称为“黑核”（BCORE）。

　　11、“零信任”概念最早是由约翰·金德瓦格（John Kindervag）在 Forrester 报告中提出的。

　　12、零信任的前提是信任从来不应该被隐式授予，而是必须进行持续地评估。

　　13、零信任是一种端到端的网络安全架构，包括身份、证书、访问管理、操作、终端、宿主环境和互联基础设施等因素。

　　14、零信任允许授权主体（用户、应用、和设备的组合）的访问，同时消除其他所有主体（例如，攻击者）对数据和服务的非授权访问。

　　15、所有数据源和计算服务均被视为资源。

　　16、无论网络位置如何，所有通信应以最安全的方式进行，保证机密性和完整性，并提供源身份认证。

　　17、对企业资源的访问授权是基于每个连接的。每个连接都对请求者的信任进行评估。

　　18、对资源的访问权限由动态策略决定，包括客户身份、应用、用户行为属性、设备特征（如：已安装的软件版本、网络位置、请求时间和日期、以前观测到的行为、已安装的凭证等）。

　　19、行为属性包括自动化的用户分析、设备分析、度量到的与已观测到的使用模式的偏差。

　　20、零信任策略是一系列基于组织机构分配给用户、数据资产或应用的属性的访问规则集。

　　21、资源访问和操作权限策略可以根据资源/数据的敏感性而变化。

　　22、没有设备是天生可信的。企业需要确保所有设备处于尽可能最安全的状态，并监视设备资产以确保它们保持尽可能最安全的状态。具有已知漏洞或不受管控的设备需要区别对待。

　　23、在访问被允许之前，所有资源访问的身份验证和授权是动态持续评估的循环过程（如基于时间的、新的资源请求、检测到异常用户活动）。

　　24、整个用户交互过程应该持续地监视，根据策略的定义和执行，可能进行重新的身份认证和重新授权。

　　25、企业应该收集尽量多关于网络基础设施和通信当前状态的信息，并将其应用于提高网络安全状况。

　　26、零信任核心组件

　　a. 策略引擎（PE）：负责用户授权。使用企业安全策略以及来自外部信息源（例如 IP 黑名单、威胁情报服务）作为“信任算法”（TA）的输入。

　　b. 策略管理器（PA）：生成客户端用于访问企业资源的任何身份验证令牌或凭证。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出并记录决策，策略管理器执行决策（批准或拒绝）。

　　c. 策略执行点（PEP）：负责启用、监视并最终终止访问主体和企业资源之间的连接。分为两个不同的组件：客户端（例如，用户笔记本电脑上的 Agent 代理程序）和资源端（例如，在资源之前部署的访问控制网关）。

　　27、零信任常见方案之一：基于软件定义边界（SDP）的ZTA客户端安装agent，用户希望通过笔记本电脑连接到一个特定企业资源（例如，人力资源应用程序/数据库）。该访问请求由本地代理 Agent接收，然后将请求发送给策略管理器（PA）。策略管理器 PA 将请求转发到策略引擎PE 进行评估。如果请求被授权，则设备上Agent代理程序与对应的资源网关Gateway之间配置一个连接通道。加密的应用程序数据流开始工作。

　　28、零信任常见方案之二：基于安全区的部署

　　网关组件不驻留在某个资源的前面，而是驻留在资源安全区（例如，本地数据中心）的边界上。该模型适用于比较陈旧的应用程序或者在无法独立部署网关的本地数据中心。缺点是网关只能保护一组资源而非每个独立的资源，这将导致访问主体可能会看到一些他们不该看到的资源。

　　29、零信任常见方案之三：基于资源门户的ZTA无需在所有客户端设备上安装软件组件。但是，来自访问请求的设备的信息也会非常有限。此模型只能在资产和设备它们连接到 PEP 门户时进行一次性的扫描和分析，但无法持续地进行恶意软件和正确配置的监控。

　　30、零信任常见方案之四：设备应用沙箱

　　用户在设备上的沙箱中运行已批准和审查过的应用程序。该应用程序可以与 PEP 通信以请求访问资源，但 PEP 将拒绝来自该设备资产上的其他应用程序。独立运行在沙盒的程序也能免受主机上潜在的恶意软件感染。但这种模型有一个缺点，就是企业必须为所有设备资产维护这些沙盒中应用程序。

　　31、信任算法：对于已经部署零信任架构 ZTA 的企业，策略引擎 PE 可以看作是大脑，而PE 的信任算法（TA）则是其主要的思维过程。PE根据信任算法的得分来最终授予或拒绝对资源的访问。

　　32、信任算法的输入包括：

　　a. 用户操作系统版本、使用的应用程序和补丁级别等设备资产安全状况。

　　b. 用户的账号角色及身份属性包括时间和地理位置、过去观测到的用户行为的数据等。

　　c. MFA 网络位置（例如，拒绝来自海外 IP 地址的访问）、数据敏感度（有时称为“数据毒性”）和资产配置。

　　d. 威胁情报，包括攻击特征和缓解措施等。

　　33、信任算法的实现：

　　a. 基于分数：如果得分大于资源的配置阈值，则授予访问权限或执行操作。否则，请求被拒绝。

　　b. 基于上下文：评估访问请求时考虑用户或网络代理的最近历史记录。当攻击者行为与平常不同时，攻击能被检测到，触发额外的身份验证或者资源请求拒绝。例如，如果一个机构的人力资源部门的员工通常在一个典型的工作日访问 20 到 30 个员工记录，如果访问请求在一天中突然超过 100 个记录，基于上下文的 TA 可能会发送警报。

　　34、零信任的使用场景之一：分支机构访问总部

　　员工希望从任何工作地点可以方便安全地访问公司资源。外部地区的员工可能没有完全企业拥有的本地网络，但为了执行工作任务仍然需要访问企业资源。企业可能希望授予员工日历、电子邮件等某些资源的访问权限，但拒绝其访问或限制操作更敏感的资源（例如，人力资源数据库）。

　　35、零信任的使用场景之二：企业使用了多个云提供商

　　应用程序托管在与数据源分离的云服务上。考虑性能和便于管理，云提供商 A 中托管的应用程序应该能够直接连接到托管在云提供商 B中的数据源，而不应强制应用程序通过企业网络连接。

　　36、零信任的使用场景之三：第三方访客或外包服务人员的访问

　　企业有自己的内部应用程序、数据库和资产，其中包括外包给供应商偶尔需要在现场提供维修的服务（例如，由外部供应商拥有和管理的智能供暖和照明系统，即 HVAC）。这些访客和服务提供商需要网络连接以执行任务。实施零信任原则有助于企业在允许这些设备和来访的技术人员访问互联网的同时隐藏企业资源。

　　37、零信任的使用场景之四：跨企业协作

　　一个项目涉及企业 A 和企业 B 的员工。企业 A 运维项目需要使用数据库，但必须允许企业 B 中的某些成员访问数据库中的数据。

　　38、在从零新建的系统可以实施建立一个零信任架构。但任何一个具备规模的企业不太可能在单一的技术更迭周期内全部迁移到零信任。零信任架构工作流程在传统企业中可能会有一段不确定的共存期。

　　39、在将零信任架构引入企业之前，应该对资产、用户、数据流和工作流进行调查。这是零信任架构部署之前必须达到的基础状态。

　　40、对于一个零信任企业来说，PE 必须对企业主体有一定的了解。主体可以包括人和非人类实体（NPE），如与资源交互的服务账户等。拥有特殊权限的用户，如开发人员或系统管理员，在被分配属性或角色时，需要进行额外的审查。

　　41、零信任架构的关键要求之一是识别和管理设备的能力。这包括硬件组件（如笔记本电脑、电话、IoT 设备）和数字制品（如用户账户、应用程序、数字证书）。企业必须能够配置、调查和更新企业资产，例如虚拟资产和容器等企业资产。还包括其物理位置（作为尽量预估）和网络位置。在做出资源访问决策时，这些信息应该为策略引擎 PE 提供参考。

　　42、利用基于云的资源或由远程员工使用的业务流程通常是零信任架构的良好候选对象。

　　43、企业应该从低风险的业务流程开始向零信任架构过渡，因为业务中断可能不会对整个组织产生负面影响。一旦获得足够的经验，更关键的业务流程就可以成为候选对象。

　　44、在确定资产或工作流后，确定所有使用或受工作流影响的上游资源（如身份管理系统、数据库、微服务）、下游资源（如日志、安全监控）和实体（如用户、服务账户）。这可能会影响作为第一次迁移到零信任架构的待选对象选择。

　　45、如何选择零信任方案？因素一：该解决方案是否要求在终端资产上安装组件？这可能会不利于使用非企业自有资产访问的业务流程，如 BYOD 或跨机构协作等。

　　46、如何选择零信任方案？因素二：在业务流程资源完全存在于企业本地的情况下，该解决方案是否可以工作？有些解决方案假设所请求的资源部署在云端（所谓的南北流量），而不是在企业边界内（东西流量）。

　　47、如何选择零信任方案？因素三：该解决方案是否提供可以进行分析的交互记录？零信任的一个关键组成部分是收集和使用与流程流相关的数据，在做出访问决策时，这些数据会反馈到 PE 中。

　　48、新的零信任业务工作流可以在一段时间内以“报告模式”运行，以确保策略是有效和可行的。报告模式意味着应该对大多数请求授予访问权限。

　　49、有一种误解认为零信任架构 ZTA 是一个带有解决方案集合的单一框架，且与现有的网络安全观并不兼容。而实际上，零信任应该被视为当前网络安全战略的演变，因为许多概念和想法已经存在发展了很长时间。

　　50、采取单一厂商解决方案完成零信任架构是不可能的，而且这样还会导致供应商锁定。许多产品专注于 ZTE内部的单个市场定位，并依赖于其他产品来向另一个组件提供数据或某些服务。（例如，为资源访问而集成多因素认证（MFA））。

　　51、云安全联盟（CSA）已经为软件定义边界（SDP）开发了一个框架，该框架在 ZTA 中也很有用。

　　52、面对 ZTA，攻击将如何演变？一种可能性是旨在窃取凭证的攻击可能会扩展为以MFA（多因素认证）为目标（例如网络钓鱼、社会工程）。另一种可能性是，在混合型 ZTA 或边界防御为主的企业中，攻击者将重点关注尚未应用 ZTA 原则的业务流程（即执行传统的基于网络边界的安全策略的那些）。