2.1.2 零信任模型

零信任模型是一种聚焦于保护组织资源，确保组织的资源和数据实现端到端安全的网络安全模式，其前提是信任永远不会被隐性授予，而必须通过持续评估获取。

传统的网络安全模型把不同的物理空间（区域）及业务系统的网络（或者同一区域及业务系统的网络的不同部分）划分为不同的安全区，即安全域。不同的安全域之间使用防火墙、网闸/单向网闸等访问控制措施进行隔离。每个安全域都被授予某些用户、设备或者应用以某种程度的信任，它决定了哪些网络资源允许被访问。这种传统的基于边界的网络安全模型提供了非常强大的纵深防御能力。比如，通过互联网可访问的Web站点等高风险的网络资源会被部署在特定的安全域（一般称为“隔离区”，即DMZ），该区域的网络流量会被严密监控和控制。

这是一种常见的网络安全模型，如图2-2所示。

基于对安全现状和原因的分析，约翰·金德维格先生及其合作者们认为，这种传统的基于边界的网络安全模型已经失效了。

他们进一步提出了一个新的网络安全模型。该模型不再假定组织边界（包括物理边界、网络边界、人员边界等）隔离是有效的安全措施。组织内部的安全专业人员必须消除可信网络与不可信网络的概念、内部网络比外部网络更安全以及内部人员比外部人员可信的观念，并且必须停止在网络中随意信任数据包，停止以位置为基础建立信任关系，反而需要建立所有的网络流量都不可信的新观念，必须验证和保护所有的资源，限制并严格执行访问控制，检查和记录所有的网络流量。这一模型即“零信任模型”。

零信任模型是信息/网络安全领域中众多网络安全模型中的一种，与传统的基于边界的网络安全模型有诸多不同。传统的网络安全模型以边界为分界面，将资源划分为“可信”与“不可信”两组，形成相对立的建模基础。零信任模型中，不再以边界为分界面，转而以身份为核心、以资源为中心构建网络的安全体系结构，涵盖人员安全、网络安全、应用安全、数据安全等各个方面，致力于构建一整套以数据为核心保护对象的安全策略模型，从而实现动态的、细粒度的访问控制，如图2-3所示。

组织中有许多信息技术资产，包括设备、系统、数据等。组织基于这些资产持续不断地为不同的用户提供服务，包括组织内部和外部的用户，而内部用户进一步包括普通员工、中层管理者、高级管理者等。而基于这些资产所提供的服务多种多样，包括数据管理、信息传播、沟通交流、商贸交易、决策支持、生产控制等。零信任模型旨在统筹规划和协调这些资产，在网络中构建起“由正确的人以正确的方式执行正确的IT操作”的动态控制策略。

对零信任模型，总结如下3个核心方面。

❑确保所有资源都被安全访问，无关位置。

❑采用最小特权策略并严格执行访问控制。

❑检查并记录所有流量。 Gkqb8cWps++jX2acliulAMTPIEZ+OiSmWfydzlFTMyqQF4igpJAMmdUPhaqkk/GA