什么是零信任？零信任的好处有哪些？

在网络监控无处不在的时代，很难确定谁是值得信任的。我们能相信互联网流量没有被监听吗？当然不能！我们既无法信任提供光纤租用的互联网服务商，也无法信任昨天在数据中心布线的合同工。“数据中心内部的系统和网络流量是可信的”这一假设是不正确的。现代的网络设计和应用模式，已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值。因此，网络边界的安全防护一旦被突破，即使只有一台计算机被攻陷，攻击者也能够在“安全的”数据中心内部自由移动。

零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型没有基于网络位置建立信任，而是在不依赖网络传输层物理安全机制的前提下，有效地保护网络通信和业务访问。零信任模型并不是不切实际的设想，利用已经成熟的加密技术和自动化系统，这一愿景完全可以实现。

什么是零信任？

零信任，验证全部，保持统一的控制 — 这就是 Zero Trust 的本质。零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。

简言之，零信任的策略就是不相信任何人。除非网络明确知道接入者的身份，否则任谁都别想进入。什么IP地址、主机之类的，不知道用户身份或者不清楚授权途径的，统统不放进来。

零信任是不是就意味着不信任呢？网络的建立是为了通信的，在一个完全零信任的环境下，网络体系还怎么构建？

天防安全CEO段伟恒说：“零信任是不信任到信任经历的过程体系。”只有以不信任为出发，才能确保建立充分的信任。

根据公开信息，零信任并非特指某一特定技术，而是一个安全领域的全新理念，一个新的网络安全体系架构。

简单来说，在零信任的体系架构下，除非受保护的网络明确知道接入者的身份和授权，否则默认情况下不信任企业网络内部和外部的任何人/设备/应用。

传统的网络安全架构下，需要建立完备的边界安全解决方案，典型如防火墙、IDPS等方案。但是，这样架构的前提是网络需要有一个明确的边界，随着互联网进入云计算和物联网时代，各种公有云、私有云和混合云形态各异，各种信息网络、移动互联网、工业物联网、车联网……网络安全边界已经逐渐模糊和濒临瓦解。

这种情况下，以往的传统边界安全控制体系远远不能满足要求，访问控制的颗粒度需要进一步下沉，从网络边界下沉到每个用户和设备。

因此，零信任体系架构应运而生。

由此可见，

零信任的基础之一是身份，网络中的用户、应用程序和设备，都被赋予了特定的数字身份。

零信任的基础之二是权限，与身份相生相伴。按照最小权限原则细化访问控制颗粒度，动态分配权限。

零信任的基础之三是边界，每个人/设备/应用都形成了自有的网络访问控制边界。没有身份和权限，原有的边界内部的也不能访问。

零信任的好处有哪些？

从企业数字化转型和IT环境的演变来看，云计算、移动互联的快速发展导致传统内外网边界模糊，企业无法基于传统的物理边界构筑安全基础设施，只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界，通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化，这样身份就成为了网络安全新的边界，以身份为中心的零信任安全成为了网络安全发展的必然趋势。

可以明确的一点是，零信任已经成了整个安全行业关注的焦点，已经成为行业未来发展趋势。不同的企业，从不同的领域，不同的产品维度，纷纷植入零信任理念。