2.6 零信任的风险及应对措施

零信任虽然可以解决很多安全问题，但仍存在一些可预见的风险。在进行零信任建设时，应采取必要的措施来规避风险。

（1）零信任的访问代理（策略执行点）可能成为单点故障：一个点断了，整个网络都断了。因此，必须考虑高可用机制和紧急逃生机制。

（2）零信任的访问代理可能造成性能延迟。特别是对于分布式、大规模的场景，要考虑多POP点的架构，而且一定要做性能测试。

（3）零信任的访问代理会保护整个网络，但它本身会成为攻击的焦点。而且零信任系统要汇聚多源数据进行综合分析，这些存储在零信任系统中的数据价值巨大，也容易变成攻击者的目标。所以零信任系统必须具备一定抵抗攻击的能力。

（4）零信任的访问代理具备网络隐身能力，可以提高对抗DDoS攻击的效率，但如果攻击方用大量“肉鸡”（也称傀儡机，指可以被黑客远程控制的机器）将带宽占满，那么零信任访问代理也是无能为力的，只能通过流量清洗、带宽扩容等手段解决。

（5）零信任方案包括应用层的转发和校验环节，因此可能存在与业务系统的兼容问题。应当尽量在零信任方案建设的早期发现并解决这类问题。

（6）零信任建设涉及各方面的对接，需要考虑建设路线和成本问题。零信任的建设一般要考虑与业务系统、用户身份、安全分析平台的对接，以及与现有网络安全设备的协同。否则零信任的加密通信策略可能影响原有的流量分析体系。

（7）零信任的信任评估及风险分析算法可能存在误报。企业应当不断积累训练数据，根据业务自身的特征，对分析模型进行持续调优。

（8）安装零信任客户端可能导致用户学习成本增加。在建设零信任架构时，需要考虑为非管控设备和无法进行强制要求的第三方用户提供无端的接入方式，或者尽量提供无感知的终端体验。

（9）采取单一厂商解决方案会导致供应商锁定问题，可以考虑将多个产品集成。例如，将资源访问和身份认证模块分开采购。

（10）如果采用云形式的零信任架构，则需要考虑第三方的服务等级协议（SLA）、可靠程度、可能存在的数据泄露问题等。

（11）零信任也无法突破安全能力的极限。如果用户的账号和密码被窃取，那么零信任系统发现之后会进行短信认证和设备认证。如果攻击者将用户的手机、计算机、账号和密码、证书等信息都窃取了，而且绕过了零信任系统的异常行为检测，零信任就无能为力了。同样的道理，零信任的终端沙箱可以禁止用户将敏感文件从安全区拷走。但如果有复制权限的用户故意将文件泄露，或者有管理员故意做了不安全的配置，那么零信任系统也只能审计，无法阻拦。