2.1.4 零信任网络

对于“零信任网络”来说，顾名思义，其本质是不要轻易相信任何连接在网络上的要素，包括其组织和人员。

广义上说，当我们深入理解了零信任理念、零信任模型，开始考虑并逐步建成了一个又一个零信任计算机信息系统时，我们的网络自然会演进为一张零信任网络。此时接入网络的系统，都能够根据身份数据、安全基础设施、风险分析数据等信息进行判断，进而动态执行业务系统安全策略，从而稳健运行。

狭义上说，对于任何一个组织而言，当构建起以身份为核心、以资源为中心的网络保护体系结构时，也就意味着组织的网络演进到了零信任网络形态。

零信任网络访问（ZeroTrust Network Access，ZTNA）也可以理解为零信任网络接入，是指通过安全的网络通道接入服务器资源，并提供持续的访问控制、安全评估及阻断。这一概念也来自Gartner公司，包括BeyondCorp、SDP（Software Defined Perimeter，软件定义边界）等不同的网络接入模型。

❑BeyondCorp模型是由谷歌开发的一种基于云的安全架构模型。其核心理念是弃用传统的基于网络边界的网络安全策略，而建立一种基于用户、设备和应用的安全策略。这种模型通过细化身份验证、设备健康检查和细粒度访问控制等手段来保护企业网络和数据。用户不再需要连接传统的VPN，而是直接通过云端应用进行访问和工作。

❑SDP模型是一种基于软件定义技术的新型网络安全架构，旨在通过建立一个可信边界来保护企业网络和资源。与传统的网络边界安全模型不同，SDP创建了一种虚拟的安全边界，只允许特定用户和设备访问指定的应用及数据，从而减少了网络攻击的风险。此外，SDP还通过数据加密和应用隔离等技术来加强数据安全性。

BeyondCorp和SDP都是更加灵活、安全且适应性更强的网络接入安全模型，能够让用户更加方便地访问企业网络和资源，同时增强了企业网络的安全性。 bkLX0+mZqUlGnyKlV+7gm8j2PrRdA6KD9nd4TDK/t3uLLTeyLOXZwp3DGP0It+dQ