sdp零信任

2023-03-14

随着互联网飞速发展，信息技术的广泛应用，企业信息化程度越来越高，对网络安全的要求也越来越严格。传统的网络安全模式已经难以满足越来越复杂的网络安全需求，因此零信任（Zero Trust）的概念应运而生。

01 什么是零信任？

零信任，字面意义为“不信任”的安全理念。且不论“信任”这个词汇在安全领域里经常出现的二义性，起源于2010 年时任福布斯 CISO 的 John Kindervag 所提出的安全前提——不要总是相信网络内部的用户、设备和系统，即使这些对象已经被授权并通过了身份验证。零信任架构的核心理念就是“始终靠技术，不靠人性。”

这依赖于一套“裹腹部切断”的实施方法——它不仅是一种产品，还是一种理念。它的主要原则是通过使用强制访问控制、多因素身份验证（MFA）和其他安全性工具来保护对企业资源的访问，对要求访问的用户、设备和应用程序的身份进行验证，并对其进行授权。

02 传统网络安全模式存在的局限性

在传统网络安全模式下，网络通常被划分为内部和外部两部分。与内部安全的数据和网络资源相比，外部网络则被视为安全风险的源头，并保持高度警惕。在这种模式下，企业通常会在组织的边界上设置关卡来检测拦截恶意流量或未授权的访问企图。

然而，近年来，互联网上存在的攻击手段越来越复杂，例如Ransomware、APT、DDoS等等，攻击者可以通过各种方式渗透到企业内部网络中，并留下后门，通过这些后门，攻击者就可以在企业内部自由行动。而在传统网络安全模式下，企业在检测和拦截外部攻击时可能会忽略了网络内部潜在的威胁。

03 零信任网络安全模式

相较于传统的网络安全模式，零信任模式能够最大程度上降低网络内部的攻击风险。零信任的核心理念是无论在内部、还是在外部，都不相信用户、设备、网络，要始终保持高度警觉性，并在任何时候需要对人员、设备、网络访问授权进行验证。

在零信任模式中，企业不再将网络分为内部和外部两部分，而是将每个用户、每个设备视为“外部人员”，每个访问授权都是一项新的安全决策，每个网络连接都需要进行身份验证和验证授权。这样可以实现强制访问控制（MAC）和多因素身份验证（MFA），从而确保安全性最大化。

需要明确的是，零信任并不是一种单一的解决方案或一种特定的技术，而是一种基于多套安全技术的整体解决方案。按照零信任框架的理念，进行了以下手段加强安全性：

步骤一：建立访问控制策略，明确那些人可以访问某些资源。

步骤二：对设备进行身份验证，所有设备的访问，必须采取MFA机制。

步骤三：数据流量需要根据其身份和其他属性特征进行分类，且驻留在测试设备上。

步骤四：启用证书管理系统，对所有资源进行加密，并将其与设备和人员关联。