零信任

网络安全领域有一个热门词，叫做零信任。

何为零信任呢？

零信任是一种先进的安全理念，强调不信任任何用户、设备、应用程序或事务，即使是内部的。这种方法要求持续验证身份和权限，确保只有经过授权的用户和设备可以访问系统和数据。零信任安全采用多层次的验证和访问控制，以降低潜在的安全威胁。

从不信任，始终验证，这是零信任概念的基本理念。即便是亲爹亲妈来了也不给面，同样需要接受问话和签字，这样一来，貌似烦琐，却能够减少很多风险。

零信任不仅是网络安全防御战略，也是进攻战略，即在稳固自身安全的同时，无所顾忌地向对手发起攻击。世界各国都在大力发展和预置。

美国是较早将零信任引入国家网络安全体系的国家。美国政府加速推进零信任战略，既是美国传统网络安全系统失能、网络安全理念和技术迭代的要求，也是数字时代大国竞争的组成部分，同时还是美国国防数字战略现代化的需要。

美国政府加强基于顶层设计的网络安全宏观布局，明确实施零信任战略的关键事项，并确立了联邦政府推动零信任安全体系的基本原则。零信任安全框架的核心领域是关键基础设施、国家安全系统和国防系统，美国确立了以网络安全和基础设施安全局为轴心的推动零信任布局的“全政府”架构。零信任不仅仅是技术的转变，还是一种文化。零信任架构从以网络安全为中心转向以数据安全为中心。

那么没什么要搞零信任呢？

传统的维护网络安全方法被称为边界安全，其设计理念是：一个内部或受信任的网络由防火墙及其他安全防护措施将其与外部世界隔绝。这个边界内的（或通过远程方法连接的）人或端点，要比边界外的人或端点获得更高级别的信任。这些架构使得进入内部网络的人可以轻松地畅游内部网络，相应的用户、设备、数据和其他资源几乎完全不设防。而在零信任安全架构中，所有设备和用户即使是网络中的设备和用户，除非得到验证，都被视为不可信。这决定了零信任安全的实施涉及对访问网络资源的设备和用户的持续监控和身份验证。

几个显著特点：

加密无处不在。零信任建立在假设网络不可信的基础之上，这意味着在任何发生通信的地方，都假定对手可能在监视。因此，无论是在组织的网络内部还是外部通信，都应该从端到端加密，以保护流动和静止的信息。

访问分割。即所有的访问，无论是网络访问、数据访问还是应用程序访问等，都应该被分割成尽可能小的可访问区块，这样就没有单个实体可以访问组织的整个或大部分网络、数据或应用程序，确保尽可能少的实体能够访问关键数据。