目前,有一些零信任技术标准组织给出了“零信任”这一术语的定义,便于业界的交流和理解。例如,美国的NIST标准和国内的CESA标准中对零信任提供了定义。
根据NIST,零信任涵盖一系列安全概念和理念,在面对可能已被攻击的网络时,针对信息系统和服务的每一次访问请求,通过执行精细化的、基于最小特权访问原则的访问控制决策来使不确定性最小化。
根据CESA,零信任是一组围绕资源访问控制展开的安全策略、技术与过程的统称。从对访问主体的不信任开始,通过持续的身份鉴别和监测评估、最小特权访问原则等,动态调整访问策略和权限,实施精细化的访问控制和安全防护。
可见,零信任的概念和思想已在业界形成了基本共识,零信任可以对所有网络资源(含数据)的访问过程进行安全防护。综上所述,近年来零信任的相关标准制定工作迅速推进,对产业和技术的发展起到了积极的推动作用,也为行业的共识和交流提供了基础平台。尤其是从2019年开始,零信任标准化工作进入了爆发阶段,也非常符合标准工作的逻辑。因为零信任理念已经经过了十多年的发展和落地实践,相关的技术和解决方案也逐渐成熟,非常适合通过标准来进行规范和定义,进一步进行规模化的推广和应用,从而助力零信任的发展。