基于身份而非網(wǎng)絡(luò)位置來(lái)構(gòu)建訪(fǎng)問(wèn)控制體系，首先需要為網(wǎng)絡(luò)中的人和設(shè)備賦予數(shù)字身份，將身份化的人和設(shè)備進(jìn)行運(yùn)行時(shí)組合構(gòu)建訪(fǎng)問(wèn)主體，并為訪(fǎng)問(wèn)主體設(shè)定其所需的最小權(quán)限。

零信任架構(gòu)關(guān)注業(yè)務(wù)保護(hù)面的構(gòu)建，通過(guò)業(yè)務(wù)保護(hù)面實(shí)現(xiàn)對(duì)資源的保護(hù)，在零信任架構(gòu)中，應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源。通過(guò)構(gòu)建保護(hù)面實(shí)現(xiàn)對(duì)暴露面的收縮，要求所有業(yè)務(wù)默認(rèn)隱藏，根據(jù)授權(quán)結(jié)果進(jìn)行最小限度的開(kāi)放，所有的業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求都應(yīng)該進(jìn)行全流量加密和強(qiáng)制授權(quán)，業(yè)務(wù)安全訪(fǎng)問(wèn)相關(guān)機(jī)制需要盡可能工作在應(yīng)用協(xié)議層。

持續(xù)信任評(píng)估是零信任架構(gòu)從零開(kāi)始構(gòu)建信任的關(guān)鍵手段，通過(guò)信任評(píng)估模型和算法，實(shí)現(xiàn)基于身份的信任評(píng)估能力，同時(shí)需要對(duì)訪(fǎng)問(wèn)的上下文環(huán)境進(jìn)行風(fēng)險(xiǎn)判定，對(duì)訪(fǎng)問(wèn)請(qǐng)求進(jìn)行異常行為識(shí)別并對(duì)信任評(píng)估結(jié)果進(jìn)行調(diào)整。

動(dòng)態(tài)訪(fǎng)問(wèn)控制是零信任架構(gòu)的安全閉環(huán)能力的重要體現(xiàn)。建議通過(guò)RBAC和ABAC的組合授權(quán)實(shí)現(xiàn)靈活的訪(fǎng)問(wèn)控制基線(xiàn)，基于信任等級(jí)實(shí)現(xiàn)分級(jí)的業(yè)務(wù)訪(fǎng)問(wèn)，同時(shí)，當(dāng)訪(fǎng)問(wèn)上下文和環(huán)境存在風(fēng)險(xiǎn)時(shí)，需要對(duì)訪(fǎng)問(wèn)權(quán)限進(jìn)行實(shí)時(shí)干預(yù)并評(píng)估是否對(duì)訪(fǎng)問(wèn)主體的信任進(jìn)行降級(jí)。

SDP旨在使應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界,以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開(kāi)。SDP將物理設(shè)備替換為在應(yīng)用程序所有者控制下運(yùn)行的邏輯組件，僅在設(shè)備驗(yàn)證和身份驗(yàn)證后才允許訪(fǎng)問(wèn)企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。從架構(gòu)上講，基于SDP的系統(tǒng)通常會(huì)實(shí)施控制層與數(shù)據(jù)層的分離，即控制流階段，用戶(hù)及其設(shè)備進(jìn)行預(yù)認(rèn)證來(lái)獲取豐富的屬性憑據(jù)作為身份主體，以此結(jié)合基于屬性的預(yù)授權(quán)策略，映射得到僅供目標(biāo)訪(fǎng)問(wèn)的特定設(shè)備和服務(wù)，從而可以直接建立相應(yīng)安全連接。

零信任強(qiáng)調(diào)基于身份的信任鏈條，即該身份在可信終端，該身份擁有權(quán)限才可對(duì)資源進(jìn)行請(qǐng)求。傳統(tǒng)的IAM系統(tǒng)可以協(xié)助解決身份唯一標(biāo)識(shí)、身份屬性、身份全生命周期管理的功能問(wèn)題。通過(guò)IAM將身份信息(身份吊銷(xiāo)離職、身份過(guò)期、身份異常等)傳遞給零信任系統(tǒng)后，零信任系統(tǒng)可以通過(guò)IAM系統(tǒng)的身份信息來(lái)分配相應(yīng)權(quán)限，而通過(guò)IAM系統(tǒng)對(duì)身份的唯一標(biāo)識(shí)，可有利于零信任系統(tǒng)確認(rèn)用戶(hù)可信，通過(guò)唯一標(biāo)識(shí)對(duì)用戶(hù)身份建立起終端、資源的信任關(guān)系，并在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)實(shí)施針對(duì)關(guān)鍵用戶(hù)相關(guān)的訪(fǎng)問(wèn)連接進(jìn)行阻斷等控制。

微隔離本質(zhì)上是一種網(wǎng)絡(luò)安全隔離技術(shù)，能夠在邏輯上將數(shù)據(jù)中心劃分為不同的安全段，一直到各個(gè)工作負(fù)載級(jí)別，然后為每個(gè)獨(dú)立的安全段定義訪(fǎng)問(wèn)控制策略。它主要聚焦在云平臺(tái)東西向流量的隔離，一是區(qū)別傳統(tǒng)物理防火墻的隔離作用，二是更加貼近云計(jì)算環(huán)境中的真實(shí)需求。微隔離將網(wǎng)絡(luò)邊界安全理念發(fā)揮到極致，將網(wǎng)絡(luò)邊界分割到盡可能的小，能夠很好的緩解傳統(tǒng)邊界安全理念下的邊界過(guò)度信任帶來(lái)的安全風(fēng)險(xiǎn)。

目前，零信任安全方案多處于快速迭代期，項(xiàng)目建設(shè)過(guò)程中需要不同程度的定制化開(kāi)發(fā)工作。因此在規(guī)劃前，參考行業(yè)中應(yīng)用規(guī)模相當(dāng)?shù)膶?shí)踐案例，能一定程度上幫助解決架構(gòu)選擇和建設(shè)實(shí)施階段的難點(diǎn)。

零信任安全架構(gòu)要具備一定的安全擴(kuò)容和持續(xù)演進(jìn)的能力，才能為企業(yè)數(shù)字化業(yè)務(wù)的快速發(fā)展做好支撐和保障。因此，對(duì)于計(jì)劃向零信任轉(zhuǎn)型的企業(yè)，架構(gòu)選擇至關(guān)重要。架構(gòu)規(guī)劃時(shí)，架構(gòu)設(shè)計(jì)師或CSO需要充分了解企業(yè)的業(yè)務(wù)運(yùn)營(yíng)模式，包括企業(yè)未來(lái)五年的擴(kuò)展及數(shù)字化轉(zhuǎn)型計(jì)劃，這可以幫助企業(yè)更好匹配中長(zhǎng)期發(fā)展的零信任安全需求。

在零信任安全建設(shè)中，需要指定相關(guān)責(zé)任人或部門(mén)，為項(xiàng)目順利實(shí)施落實(shí)身份、網(wǎng)絡(luò)、終端、應(yīng)用和數(shù)據(jù)等5個(gè)方面的技術(shù)要求，細(xì)化出每個(gè)方面的具體要求，并提出詳細(xì)的需求說(shuō)明。

在零信任項(xiàng)目建設(shè)過(guò)程中，業(yè)務(wù)系統(tǒng)的對(duì)接往往是企業(yè)和服務(wù)商共同的難點(diǎn)。業(yè)務(wù)資產(chǎn)由于其形態(tài)、部署位置、權(quán)屬分散等方面的特殊性，使零信任建設(shè)要素對(duì)接過(guò)程會(huì)非常復(fù)雜。因此，業(yè)務(wù)部門(mén)、安全團(tuán)隊(duì)、服務(wù)商的協(xié)同配合對(duì)推動(dòng)零信任建設(shè)非常重要。

相比傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品，零信任安全控制系統(tǒng)的可靠性、魯棒性要求非常高。所以，不管是舊系統(tǒng)遷移還是新系統(tǒng)重建，正式上線(xiàn)前，都需要預(yù)留足夠的測(cè)試時(shí)間，以確定系統(tǒng)運(yùn)行的穩(wěn)定性、行為分析模型的可用性，同時(shí)識(shí)別那些不符合業(yè)務(wù)期望的安全策略。根據(jù)本次調(diào)研，可參考的試運(yùn)行測(cè)試周期應(yīng)該在3-6個(gè)月。

零信任安全系統(tǒng)必須要納入企業(yè)整體的安全運(yùn)營(yíng)體系中去，同時(shí)還需考慮如何將企業(yè)的業(yè)務(wù)運(yùn)營(yíng)計(jì)劃合理融入到零信任的運(yùn)營(yíng)體系中去，包括業(yè)務(wù)細(xì)粒度訪(fǎng)問(wèn)監(jiān)管、例行檢查等，特別是在重要人員調(diào)整和重大網(wǎng)絡(luò)重構(gòu)事件發(fā)生時(shí)。

零信任是個(gè)廣泛適用的方法論，也就是說(shuō)它可以應(yīng)用于整個(gè)計(jì)算架構(gòu)的各個(gè)方面，零信任技術(shù)是對(duì)攻防對(duì)抗路線(xiàn)的一次變革，讓組織能夠?qū)⒕W(wǎng)絡(luò)安全的主動(dòng)權(quán)把握在自己的手中。國(guó)內(nèi)已經(jīng)逐步接受零信任的理念，少部分企業(yè)已經(jīng)開(kāi)始部署實(shí)施，其中接受度較高的是金融行業(yè)。零信任將從SDP、IAM和微隔離三大技術(shù)方向演進(jìn)到融合端點(diǎn)安全、數(shù)據(jù)防泄漏、流量安全、威脅情報(bào)乃至態(tài)勢(shì)感知的一體化方案，兼容、開(kāi)放及合作會(huì)成為零信任持續(xù)的趨勢(shì)。