2020年，在安全方面，零信任的火熱有目共睹。

在如今企業(yè)攻防演練，遠程辦公、移動辦公等的實際需求日益增多，VPN在訪問控制、數據保護上已無法滿足企業(yè)的安全需求，零信任網絡訪問在遠程辦公和多云訪問等場景中發(fā)揮了更安全高效的作用。

2010年，約翰·金德維格提出零信任網絡訪問（Zero-Trust Network Access，簡稱“ZTNA”），認為傳統基于邊界的網絡安全架構存在風險，可信的內部網絡充滿威脅，信任是致命的風險。

在業(yè)界廠商大力跟進零信任領域，如微軟、亞馬遜、Cyxtera、國內各安全廠商等，零信任解決的是什么？有人說它是新的邊界，是保護數據，身份認證的新技術階段發(fā)展，亦或是替代VPN的安全新工具......美國國家標準與技術研究院NIST于2020年8月發(fā)布零信任架構ZTA的正式標準，ZTA標準的出臺迅速得到了業(yè)內的高度認可，成為零信任領域的權威標準。

標準對零信任架構ZTA的定義如下：利用零信任的企業(yè)網絡安全規(guī)劃，包括概念、思路和組件關系的集合、旨在消除在信息系統和服務中實施精準訪問策略的不確定性。該標準強調安全防護應該圍繞著資源（數據、負載、應用等），零信任適用于一個組織內部或與合作伙伴協助完成的工作環(huán)境，并非常詳細地描述了零信任架構的邏輯組件。

可以看出，零信任架構中的眾多組件并不是新的技術或產品，而是按照零信任理念形成的一個面向用戶、設備和應用的完整端對端安全解決方案。

零信任架構圖

而從上面的架構圖得出，零信任安全架構體系它解決的是訪問主體到客體的安全問題，主要是跟訪問控制、邊界隔離的問題相關。在移動和云化的時代，零信任幫助企業(yè)構建一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的粗粒度控制問題。

●訪問主體包括設備和用戶，不再是以前單純只看用戶。在如今流動的世界中，數據、身份訪問和管理、安全分析等也必須和用戶等綁在一起。

●訪問客體包括企業(yè)資源，業(yè)務服務器等。訪問主體與客體是邊界隔離的，用戶不可直接訪問這些資源，這也就涉及到訪問授權的問題。

在零信任的訪問過程中，隨著安全技術的發(fā)展，網絡中存在的設備、數據和應用程序等逐漸增多，成為了進入到網絡中的各個端點，零信任及其預防為主的方法會先擴展到對于企業(yè)端點安全能力的加強。

在2020年9月16日舉行的“TechNet網絡研討會”上顯示了美國國防部網絡架構和網絡安全架構的演變過程，在2020年代中展現為云優(yōu)先，用戶/端點無處不在的場景，圖中的SDP環(huán)是對國防部計劃實施零信任的解釋，同時也說明了，對于端點的管理是零信任計劃的重要一步。

另外一個例子我們以谷歌BeyondCorp項目為例。2009年“極光行動”席卷全球使得Google意識到并開啟了全新的“零信任”概念，從而誕生了BeyondCorp項目。在這個方案中，Google做的第一件事就是了解公司的人員與設備情況。據了解，Google的零信任安全架構涉及復雜的庫存管理，記錄具體誰擁有網絡里的哪臺設備。設備庫存服務來從多個系統管理渠道搜集每個設備的各種實時信息，比如活動目錄(Active Directory)或Puppet。

強有力的端點安全防護對企業(yè)零信任架構的整體規(guī)劃會起到很好的指導和借鑒，對搭建零信任的主要組件會有一個更穩(wěn)固的基礎，同時我們要明白零信任并不是對傳統技術的拋棄，而是一種新的替換或者組合，對于企業(yè)現有的NAC、EPP、EDR、DLP、IAM等安全建設，零信任可無縫替換或者接入新的架構，實現傳統安全建設與零信任的無縫融合。在Gartner 2020 ZTNA市場指南中指出，企業(yè)在考慮零信任時，需要充分評估零信任廠商對異構終端的統一管理能力，如下圖所示。

圖 Gartner 2020 ZTNA市場指南

在網絡體系中，端點安全保護和收集有關端點上發(fā)生的活動的數據，為了有效應對高級威脅，端點安全必須加強。而網絡安全各個系統的集成同樣也是保障企業(yè)整體安全，并會成為整個安全體系結構中實現零信任模型的重要一步。零信任架構是從一個整體入手，以統一的視角來幫助企業(yè)看待和建設網絡安全體系建設。零信任架構的搭建需從設備、身份、信譽、行為等多維度展開，結合到文中表達的主要思想，怎么樣的端點安全對于構建企業(yè)零信任架構才是成功的？

下篇詳解，未完待續(xù)~