零信任（Zero Trust）最早是(shì)由約翰·金(jīn)™® 德瓦格(John Kindervag)擔任Forrester Research副總裁σ€€兼首席分(fēn)析師(shī)期間(jiān)創建的'‌÷(de)。這(zhè)是(shì)一(yī)次對(duì)傳統ε 安全模型假設的(de)徹底颠覆。意思是(s‍σhì)：不(bù)能(néng)信任出入網絡的(de)任何內§↓≥∞(nèi)容。應通(tōng)過強身(shē≤'n)份驗證技(jì)術(shù)保護數(shù)據'<，創建一(yī)種以數(shù)據為(wèi)中心的(de)全新邊界。簡單說(<>shuō)就(jiù)是(shì)“從(cóng)®≈₩'不(bù)信任，總是(shì)驗證”。

傳統的(de)安全模型架構

組織網絡內(nèi)的(de)所有(yǒu)事(sh♦ ¥÷ì)物(wù)都(dōu)應受到(dào)信任，就(j←÷iù)等于，一(yī)旦進入網絡的(de)用(yò♠​•ng)戶就(jiù)可(kě)以自(zì)±π§₹由地(dì)移動、訪問(wèn)，甚至洩露數(shù)據等。≈¶由此可(kě)見(jiàn)，這(zhè±α&¥)顯然是(shì)一(yī)個(gè)很(✔ ±hěn)大(dà)的(de)漏洞。

由于傳統網絡安全模型在逐漸失效，面對(duì)更複雜πλδ±(zá)的(de)網絡環境，傳統的(de)網絡安全模型的(d≈®e)安全性受到(dào)了(le)挑戰：

1. 默認經過認證的(de)用(yòng)戶都(dōu)是(shì)安全↑♥的(de)

2. 默認邊界內(nèi)部都(dōu)是(shì)安全的(de)

3. 保護範圍廣泛

4. 無法感知(zhī)保護的(de)目标

零信任安全模型架構

零信任安全日(rì)益成為(wèi)新時(shí)代下(x€≥ià)的(de)網絡安全的(de)新理(lǐ)念、新架構。ZTNA可(kě)∏™ 以無縫地(dì)應用(yòng)到(dào)家(jiā)庭和(hé)其他(tā>γ)位置的(de)用(yòng)戶，為(wèi)位于數(shù)據中心或雲↕♦¥中的(de)應用(yòng)提供身(shēn)份驗證和(hé)授→≠權，以及應用(yòng)隐身(shēn)。

零信任常用(yòng)在哪些(xiē)場(chǎng)景：

1. 建立企業(yè)資源的(de)信任級别

企業(yè)有(yǒu)多(duō)級别管理(lǐ)，建立多(duō)₹₹λ種信任級别，區(qū)分(fēn)用(yòng)戶授權不(bù)÷Ωδ同的(de)信任級别，使得(de)低(dī)信任級‍Ω§别用(yòng)戶不(bù)能(néng)訪問(wèn)高(gāo)級别σ≥>的(de)資源，增加安全性。

2. 分(fēn)支訪問(wèn)總部業(yè)務系統

所有(yǒu)的(de)分(fēn)支訪問(wè‍‍n)總部都(dōu)需進行(xíng)用(yòng)戶身(shē↓♣&n)份校(xiào)驗和(hé)終端/系統/應用(yò∏¶♣ng)的(de)可(kě)信确認，并進行(xín₩€÷∑g)細粒度的(de)權限訪問(wèn)校(xiào)驗，然後通(tōng)‍‍過零信任網關訪問(wèn)具體(tǐ)的(de)業(yè)務，這(z≈​ hè)樣能(néng)極大(dà)的(de)減少(shǎo)企業(Ω♦yè)內(nèi)部資産被非授權訪問(wèn)的(de)行(xíng)為($©≈wèi)。

3. 企業(yè)多(duō)雲戰略

需要(yào)為(wèi)終端設備提供多(duō)個(gè)公有(yǒγ☆♥↕u)雲連接通(tōng)道(dào)的(de)能(néng)力，多(↑↑duō)個(gè)雲複用(yòng)同一(yī)個(gè∏₹)零信任安全控制(zhì)中心，提供統一π&(yī)的(de)訪問(wèn)控制(zhì)策略，通(tōn§₩g)過低(dī)流量的(de)策略同步或者其他(tā)不(bù)影( ∏←yǐng)響帶寬的(de)機(jī)制(zhì)，做✘↓★(zuò)到(dào)統一(yī)的(de)授權管理ε♦€(lǐ)。用(yòng)戶在具體(tǐ)要(yào)訪<ε問(wèn)某個(gè)公有(yǒu)雲上(shàn← ☆g)業(yè)務的(de)時(shí)候，就(jiσ€≤ù)可(kě)以通(tōng)過安全控制(✘π₽•zhì)中心，對(duì)接到(dào)相(xiàng₩'₩α)應雲的(de)零信任安全網關入口進行(xíng)訪問(wèn)。

4. 企業(yè)內(nèi)的(de)服務器(qì)間(jiān)✘'←通(tōng)信

為(wèi)避免企業(yè)的(de)運維人(rén)員(yuán)使β≥¥用(yòng)靜(jìng)态登錄雲服務器(qì)遠(yuǎn)程運維，™©‌$通(tōng)過安全網關對(duì)運維¶₹∑人(rén)員(yuán)進行(xíng)集中身(shēn)份認證（使用(yò↕£σng)企業(yè)的(de)統一(yī)身(shēn)份認證），在對(duì★♣₹)用(yòng)戶和(hé)終端設備做(zuò)身(shēn)份←γ>•認證、安全評估和(hé)訪問(wèn)授權後，為(wèi)當前會(huì)話(≤"£₩huà)臨時(shí)生(shēng)成證書(shū)，作(↓>‌₩zuò)為(wèi)服務器(qì)登錄的(★≥de)票(piào)據，解決服務器(qì)運維登錄問(≥×₩wèn)題。同時(shí)安全網關也(yě)減少Ωλ(shǎo)了(le)服務器(qì)高(gāo)危端口直接對(duì)外♥ ✘(wài)暴露的(de)風(fēng)險。

數(shù)據越來(lái)越多(duō)，安全越來(§&lái)越重要(yào)。數(shù)據洩露頻(pín)發，讓企業($ ∏yè)和(hé)用(yòng)戶喪失安全感。零信任網絡能(néng)提供更βε↑​好(hǎo)的(de)數(shù)據洩露防護，讓網絡邊界內(nèi)外(÷'≤ wài)的(de)任何東(dōng)西(xī)，λδ∞在未經驗證前都(dōu)不(bù)予信任。零信任是(shì)對(d∞πuì)網絡安全行(xíng)業(yè)的(de)重大(dà)颠ε≤♠§覆，網絡安全問(wèn)題将引導著(zhe)企業(yè)向零信任的(de)網•✘絡安全模式轉變。