2.5 零信任的价值

零信任架构可以为业务上云、移动办公、第三方访问、特权访问、物联网设备接入等场景提供安全保障，在贴近用户和数据的位置设置新的安全边界。具体来说，零信任的价值包括以下6点。

1.收缩暴露面，降低网络攻击风险

过去企业会授予用户过度的信任，零信任架构将这种信任收回。只有通过身份验证和授权的用户，才能连接、访问业务系统，业务系统对于未知用户来说是隐身不可见的。过去做安全运营要不断地封IP地址，现在默认拒绝所有IP地址访问。原理详见4.1节。

2.消除身份泄露带来的安全风险

零信任架构强制对所有访问进行身份和设备校验，如果发现盗号或设备入侵等可疑情况，就会进行风险提醒，提示用户确认身份或修复设备，严重时还可以对账号和设备进行隔离。

3.阻断被入侵后的横向攻击

攻击者入侵一台服务器或者一个用户设备之后，会以此为跳板进行横向攻击。零信任架构通过对用户设备和服务器执行最小化授权和默认拒绝策略，阻断威胁的进一步扩散。

4.限制越权访问，数据防泄露

零信任系统可以对接数据中台、数据代理或API网关，建立基于用户身份和数据标签的数据级访问控制策略；通过流量内容识别，对敏感数据传输进行安全审计；通过终端隔离沙箱阻断越权访问，防止终端上的敏感数据外流，最终实现从访问到传输再到落地全流程的数据安全。

5.标准化提升用户的访问体验

零信任架构可以消除内网、外网访问的区别。无论用户身处何地，都可以安全访问各个环境下的业务系统。基于云的零信任系统还可以提供全球负载、分布式接入，提升用户访问的速度和稳定性。

6.降低安全运营成本

零信任系统可以在集中的访问控制点上，统一实施自动化安全策略，实现安全运营效率的最大化。以身份为中心进行策略配置，可以避免复杂的网络规则配置工作，降低运维成本。通过整体规划架构和统一实施策略，可以在一个视图下管控全局安全态势，避免重复建设，避免各部分衔接问题，从而避免出现安全漏洞。 9hsaBLn3yI3mBKHPrHkc2wASa8LyA6DZb78cVuxLVkYYGS0RU3wh22wcoa2vrLWk