2.4 对零信任的几个误解

“零信任”是一个可以引起人强烈兴趣的词，也是一个容易产生误解的词。正因如此，不少人对零信任架构的认识不准确。错误的预期可能导致项目建设的失败，所以这里有必要澄清几个对零信任的误解。

（1）零信任架构不是完全摒弃已有技术另起炉灶。 零信任架构中的许多概念和想法已经存在和发展了很长时间，可以说零信任架构是这些网络安全思想的演进。

（2）零信任不仅是一种思路，更是一系列技术的合集。 很多人会望文生义，认为零信任就是什么都不信任。其实，在行业内提到零信任时一般更多指SDP架构、微隔离、AI信任评估、终端沙箱、新一代IAM等伴随零信任而出现的新技术。

（3）零信任架构不是抛弃传统的安全边界。 零信任架构不再将网络因素作为绝对的判断标准，只是将其作为考虑的因素之一。将网络与身份、设备等环境信息结合，进行综合评估，依据结果进行访问控制。

（4）零信任架构不是没有边界。 有人说零信任是“无边界”，实际上零信任架构只是没有明显的物理边界，而是部署动态的、虚拟的软件边界。

（5）零信任架构与传统的安全产品之间不是泾渭分明的。 有观点认为零信任架构只负责基于身份的安全访问，对于其他攻击的防护只能依赖传统的安全产品。实际上，零信任架构是近年来少见的整体安全架构。从Forrester到NIST，都是从零信任的角度对网络和安全进行整体重构的，其中包含了对传统安全措施的整合和改造。笔者甚至认为未来一切安全产品都会装一个零信任的“内核”。

（6）零信任并不代表零风险。 实际上，任何产品的风险都不可能被完全消除。零信任的理念是通过整体架构，层层打造纵深防御系统，逐级降低攻击的成功率，减少安全事故造成的损失。 JLreLHrBfoXmcgUQIuv55yo7H3QSqik8b8Ena1pS++XrCKex0E++UIA7f3NbG4em