零信任是一种以身份为中心的新一代网络安全防护理念,通过持续的身份认证、环境状态采集、持续信任评估、动态访问控制,并遵循最小权限原则,实现在不可信网络中构筑可信的访问通道。
传统场景中,企业的安全都是在以防火墙为边界的。但是,随着技术的更新,远程办公变得普遍,诸如VPN之类的技术在企业中应用的很普遍。这就使得企业的安全边界必须进行扩大以允许来自全球各地各种类型终端的访问(这取决于从哪里接入VPN)。这就迫使企业的IT安全团队做出改变。
A Zero Trust system is an integrated security platform that uses contextual information from identity, security and IT infrustructure, and risk and analytics tools to inform and enable the dynamic enforcement of security policies uniformly across the enterprise. Zero Trust shifts security from an ineffective perimeter-centric model to a resource and identity-centric model. As a result, organizations can continuously adapt access controls to a changing environment, obtaining improved security, reduced risk, simplified and resilient operations, and increased business agility.
Gartner把零信任看的更微观,它使用ZTNA(Zero Trust Network Access)和ZTNS(Zero Trust Network Segmentation)两个术语。其中ZTNA指代user-to-server的安全,ZTNS指代server-to-server的安全。
对任何试图接入网络和访问网络资源的人、事、物进行验证。核心原则包含以下五个方面:
- 身份是访问控制的基础
信任来自于端到端所有对象的身份,基于身份而非网络位置构建访问控制。 - 最小权限原则
资源可见和访问按需分配,仅授予执行任务所需的最小特权。 - 实时计算访问控制策略
根据主客体信任评估和访问需求进行策略计算,并持续评估以保证策略实时变更。 - 资源受控安全访问
所有业务场景下全部资源基于单个访问请求连接,进行强制身份识别和授权、鉴权和通道加密。 - 基于多源数据进行信任等级持续评估
包括身份、访问上下文等的实时多源数据的多样性和可靠性,提升信任评估策略计算能力。
