“永不信任，始終驗證”是零信任架構的設計原則。

零信任最初是Forrester Research分析師John Kindervag于2010年提出，他認為所有的網絡流量都必須是不可信的。

在傳統的 IT 安全模型中，一個組織的安全防護像是一座城堡，由一條代表網絡的護城河守護著。在這樣的設置中，很難從網絡外部訪問組織的資源。同時，默認情況下，網絡內的每個人都被認為是可信的。然而，這種方法的問題在于，一旦攻擊者獲得對網絡的訪問權，并因此默認受到信任，那么組織的所有資源都面臨著被攻擊的風險。

傳統的基于邊界的安全模型

相比之下，零信任基于這樣一種信念：企業不應該自動地信任其邊界內或外部的任何東西，而是在授予訪問權限之前，對試圖連接到IT系統的任何人和東西進行驗證。

從本質上講，零信任安全不僅承認網絡內部和外部都存在威脅，而且還假定攻擊是不可避免的(或可能已經發生)。因此，它會持續監控惡意活動，并限制用戶只能訪問完成工作所需的內容。這有效地防止了用戶(包括潛在的攻擊者)在網絡中橫向移動并訪問任何不受限制的數據。

零信任的安全模型

簡而言之，零信任的原則就是“在經過驗證之前不要信任任何人。”

BeyondCorp

大約在同一時間，谷歌開始開發自己的零信任系統，其創建了 BeyondCorp，用于將傳統的虛擬專用網絡 (VPN) 訪問策略遷移到新的基礎設施，在該基礎設施中沒有系統是可信的，所有終端都會對訪問進行門控和監控。后來，谷歌開發了 BeyondProd，它提供了一種零信任方法，在云優先的微服務環境中安全地管理代碼部署。

Kindervag 的零信任模型和 Google 的 BeyondCorp 都圍繞著以下幾個主要原則：

• 分段——傳統網絡公開了對所有數據資產、服務器和應用程序的直接訪問。零信任模型劃分了這些資源的各個子集，并取消了用戶直接訪問它們而無需首先通過嚴格控制的網關的能力。這有時被稱為“網絡隔離”。微分段進一步擴展了這個概念，它將工作負載彼此隔離，這樣管理員就可以監視和控制不同服務器和應用程序之間的信息流，而不僅僅是客戶機和服務器之間的信息流。
• 訪問控制——無論用戶是實際位于辦公室還是遠程工作，他們都應該只能訪問符合其各自角色的信息和資源。網絡的每個部分都應該進行身份驗證和授權，以確保流量是從受信任的用戶發送的，而不管請求的位置或來源如何。
• 可見性——網關應該檢查和記錄所有流量，管理員應該定期監控日志，以確保用戶只嘗試訪問他們被允許訪問的系統。通常，管理員會使用云訪問安全代理軟件來監控用戶和云應用程序之間的流量，并在他們發現可疑行為時發出警告。

借助零信任模型，組織可以消除對網絡和資源的直接訪問，建立精細的訪問控制，并獲得對用戶操作和流量的可見性。但是，他們需要模型來指導他們完成實施。

零信任模型的三大原則和八大支柱

三大核心原則

零信任是一個集成的、端到端安全策略，基于三個核心原則：

(1) 永不信任，始終驗證——始終基于所有可用數據點進行身份驗證和授權，包括用戶身份、位置、設備、數據源、服務或工作負載。持續驗證意味著不存在可信區域、設備或用戶。

(2) 假設有漏洞——通過假設防御系統已經被滲透，可以采取更強大的安全態勢來應對潛在威脅，從而在發生漏洞時將影響降到最低。通過分段訪問和減少攻擊面、驗證端到端加密，并實時監控網絡，限制“爆炸半徑”——由入侵引起的潛在損害的范圍和范圍。

(3) 應用最低權限訪問——零信任遵循最低權限原則 (PoLP)，該原則限制任何實體的訪問權限，只允許執行其功能所需的最小特權。換句話說，PoLP 可以防止用戶、帳戶、計算進程等在整個網絡中進行不必要的廣泛訪問。

八大支柱

以上原則為構建零信任架構 (ZTA) 奠定了基礎。此外，零信任安全的八大支柱構成了一個防御架構，旨在滿足當今復雜網絡的需求。這些支柱分別代表了對零信任環境進行分類和實現的關鍵關注領域。

(1) 身份安全——身份是唯一描述用戶或實體的屬性或屬集性。通常被稱為用戶安全，其中心是使用身份驗證和訪問控制策略來識別和驗證試圖連接到網絡的用戶。身份安全依賴于動態和上下文數據分析，以確保正確的用戶在正確的時間被允許訪問。基于角色的訪問控制 (RBAC)和基于屬性的訪問控制 (ABAC) 將應用于該策略以授權用戶。

(2) 端點安全——與身份安全類似，端點(或設備)安全對嘗試連接到企業網絡的設備(包括用戶控制和自主設備，例如物聯網設備)執行“記錄系統”驗證。其側重于在每個步驟中監視和維護設備運行狀況。組織應該對所有代理設備(包括移動電話、筆記本電腦、服務器和物聯網設備)進行清點和保護，以防止未經授權的設備訪問網絡。

(3) 應用程序安全——應用程序和工作負載安全包括本地和基于云的服務和系統。保護和管理應用層是成功采用零信任狀態的關鍵。安全性封裝了每個工作負載和計算容器，以防止跨網絡收集數據和未經授權的訪問。

(4) 數據安全——側重于保護和強制訪問數據。為了做到這一點，數據被分類，然后與除需要訪問的用戶之外的所有人隔離。這個過程包括基于任務關鍵度對數據進行分類，確定數據應該存儲在哪里，并相應地開發數據管理策略，作為健壯的零信任方法的一部分。

(5) 可見性和分析——對與訪問控制、分段、加密和其他零信任組件相關的所有安全流程和通信的可見性提供了對用戶和系統行為的重要洞察。在此級別監控網絡可改進威脅檢測和分析，同時能夠做出明智的安全決策并適應不斷變化的安全環境。

(6) 自動化——通過自動化在整個企業中一致地應用策略的手動安全流程來提高可擴展性、減少人為錯誤并提高效率和性能。

(7) 基礎設施安全——確保工作負載中的系統和服務免受未經授權的訪問和潛在漏洞的影響。

(8) 網絡安全——柱側重于隔離敏感資源，防止未經授權的訪問。這涉及實施微分段技術、定義網絡訪問以及加密端到端流量以控制網絡流量。

零信任的應用

零信任安全可以根據您的架構設計和方法以多種方式應用。

零信任網絡訪問 (ZTNA)是零信任模型最常見的實現。基于微分段和網絡隔離，ZTNA 取代了對 VPN 的需求，在經過驗證和身份認證后可以接入網絡。

零信任應用程序訪問 (ZTAA)也按照零信任原則運行，但與 ZTNA 不同，它在保護網絡和應用程序方面更進一步。ZTAA 假設所有的網絡都受到威脅，并限制對應用程序的訪問，直到用戶和設備得到驗證。這種方法有效地阻止了進入網絡的攻擊者并保護了連接的應用程序。?

零信任訪問是包含 ZTAA 和 ZTNA 的總括模型，可在整個架構(包括所有網絡和應用程序)中提供端到端的零信任。它提供基于身份的安全性，不僅考慮網絡上的用戶，還考慮網絡上的內容——將零信任擴展到提供商本身。這為組織在真正的零信任環境中提供了強大的數據隱私。

最后，零信任不是一種技術，而是一種安全框架和理念，這意味著企業可以將其構建到現有的體系結構中，而無需完全拆除現有的基礎設施。