零信任是什么意思？零信任網絡怎么搭建？

1 零信任是什么意思

不依賴網絡傳輸層物理安全機制，卻能有效保護網絡通信與業務訪問叫零信任網絡。零信任就是對任何事務都采取不信任的態度。中心思想是自動信任內部或外部的任何人、事、物是不應該的，而應該在獲得授權前驗證任何想要接入系統的人、事、物。

2 零信任的來源

零信任的最早雛形源于2004年成立的耶利哥論壇，該論壇是一個總部設在英國的首席信息安全官群體，其成立的使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案，該論壇提出要限制基于網絡位置的隱式信任，并且不能依賴靜態防御。

3 搭建零信任網絡

零信任網絡在任何用戶、設備，發起的任何一次連接和申請的任何一次服務，若沒有通過認證策略判決，都認為是不可信的。它的認證不再是一站式服務，而是細化到了一事一論。零信任網絡邏輯如圖所示。

零信任網絡邏輯體系由策略判決、策略執行、監測系統、風險分析系統、數據訪問策略、身份管理系統、設備管理系統、安全管理系統以及證書系統等組成。

在零信任網絡中，主體對客體的訪問服務請求是否通過，由策略判決模塊完成，并將判決結果告知策略執行模塊，由策略執行模塊決定訪問通道是否打開或關閉。策略判決模塊可分為策略引擎和策略管理兩部分。策略引擎負責通過信任算法進行信任評分。

監測系統。監測系統主要監測、收集網絡自身的狀態信息，包括操作系統和應用程序版本、補丁安裝情況以及系統是否存在已知漏洞等。監測系統將收集的上述信息提供給策略引擎，作為信任評分函數的輸入參數。

風險分析系統。風險分析系統主要是搜集和分析來自于網絡外部的風險信息，并將分析結果提供給策略引擎作為信任評分函數的輸入。它包括新發現的攻擊或漏洞、DNS黑名單以及發現的惡意軟件等。

數據訪問策略。它是根據資源屬性而創建的一組關于數據訪問的屬性和規則組合。該策略根據組織任務需求而建立，為網絡中的用戶、設備以及應用程序提供基本的訪問特權。這是資源訪問權限的基點，而不是全部。

證書系統。證書系統負責為用戶、設備、應用程序等產生并頒發證書，形成記錄。身份管理系統。身份管理系統負責創建、存儲和管理用戶賬戶和身份信息。該系統包含姓名、身份證書、Email地址、崗位、角色以及訪問屬性等用戶信息。

安全管理系統。安全管理系統匯總系統日志、網絡流量、資源授權等進行系統安全態勢分析，可依據分析進行策略優化，或警告可能對網絡進行的主動攻擊。零信任將安全的自動化置于“安全運維”的中心地位。

參考資料：曾玲,劉星江. 基于零信任的安全架構[J]. 通信技術

推薦閱讀：《云安全聯盟：零信任落地案例集》