零信任从入门到精通（叁）

零信任是以身份为基石的动态访问控制，通过持续业务评估来实现业务安全访问。因具备这些关键能力，基于零信任架构的解决方案已成为解决网络复杂化、业务多样化、数据流动频繁等问题的优秀落地实践。通过前两期（第一期、第二期），我们已经很清晰地了解到零信任架构不是一种单一的技术手段，它是一种网络安全架构、理念。

接下来，奇安信身份安全实验室为您带来《零信任从入门到精通》第三期，了解零信任在落地实施中会遇到哪些常见问题。

Q1：目前哪些行业或者场景比较关注零信任？

零信任作为新一代安全架构，当前最适用于各行各业的云、大、物、移等新场景新业务的建设时期，将其作为安全架构进行同步规划和建设。针对非新建业务场景，比如远程办公、安全运维等各行业都存在的典型业务场景，也可以采用零信任进行优化升级。目前许多大型部委、央企、金融行业、能源行业、运营商、互联网企业等对零信任的关注度较高，实践案例较多。

Q2：实施零信任需要什么前置条件？

零信任是以身份为基石，因此实施零信任需要具备一定的身份基础设施，如果目前用户还没有身份基础设施，则需要做身份梳理和整体设计。当然，不同场景所需的前置条件不会完全相同，需要结合具体业务场景和安全现状来确认。

Q3：零信任落地需要做什么工作？

首先根据落地场景分析资源访问现状，梳理出暴露面，对暴露面进行保护。其次，整理方案中涉及的相关设施，进行适配。在最终上线后，要持续跟踪运行情况。具体工作包括现状调研、方案设计、设备部署、系统对接、联调运行，同时可能会包含一定的定制开发。

Q4：零信任是否适用于云架构？

零信任适用于云架构。云架构的广泛使用致使外部的用户、设备跨过企业“护城河”到了云上，使得传统的安全边界模糊化，零信任架构正是在“云大物移”新技术推动下才快速发展起来的。零信任通过业务安全访问能力对云上资源暴露面进行保护，通过持续信任评估对来访的用户、设备、应用以及多种属性进行评估，最终通过动态访问控制实现安全闭环。

Q5：零信任适合在多分支机构企业落地吗？

大中型企业一般都有分支机构，分公司、办事处、营业网点等，很多大型企业还会将业务拓展到全球各个国家与地区。随着内部威胁不断加剧、应用上云的趋势激增、移动办公、远程访问的情况越来越多，企业网络的复杂性、安全性、和用户访问业务的便利性要求都给传统网络安全架构带来了巨大的挑战。而零信任架构则能更有效地解决上述问题。使用了零信任架构设计，不再区分内网、专线、VPN等接入方式，通过将访问流量统一接入可信代理、访问控制平台，实现在任意网络环境下的内部资源访问。不同于传统安全产品，零信任便于部署，扩展性更好，能快速应对新分支机构的业务开通。许多分支机构尤其是海外机构的网络状况不稳定，零信任架构可提供更稳定的访问体验。同时，零信任的动态授权能力可以更好地应对复杂接入环境的风险。

Q6

从原网络安全架构向零信任架构转移需要注意什么？

实施零信任迁移是一个旅程，而非对基础设施或流程的大规模替换。建议用户逐步实现零信任原则、流程变更、保护其最高价值数据资产的技术解决方案。如何迁移到零信任架构，取决于其当前的网络安全态势和运行情况。零信任架构作为一种全新的安全思路，是持续演进的过程，需要基于业务需求、安全运营现状、技术发展趋势等对零信任能力进行持续完善和演进。建议用户确定意愿、规划先行、分步建设。

Q7：零信任的方案实施和维护是否很困难？

零信任架构技术本质是访问主体和客体之间构建以身份为基石的动态可信访问控制体系，所以，对业务权限越熟悉越有利于零信任建设。零信任方案实施的难易程度视企业的网络、业务、身份基础设备等情况而定；零信任架构构建完成后，除新增业务需要维护，其他方面不需要大改动，所以维护难度不大。

Q8：实施落地零信任，要充分考虑哪些用户投入？

零信任的建设和运营需要企业各干系方积极参与，直接涉及到安全部门、业务开发部门、IT技术服务部门和IT运营部门等，牵头单位通常是安全部门。需要特别注意的是，很多情况下企业安全部门话语权并不高，安全项目往往受到业务部门的阻碍甚至反对，而零信任实施的最佳时机是与业务实现同步规划、同步建设，因此，零信任项目的发起者需要从零信任的业务价值出发，说服业务部门和公司的高层决策者。

Q9：零信任如何解决常见的最终用户办公效率降低问题？

传统的很多用户登陆方式是分开设计的，用户需要通过不同的产品办公、办业务、测试、运维，多次登陆才可以完成需要的操作。采用零信任整体框架设计后，可以有效减少重复登录的交互过程，很多认证、授权、二次确认的动作在用户侧其实是无感知的，同时通过动态的评估能力来持续评估用户、设备、应用，保证安全性的提升，实现安全与易用的平衡。

Q10：零信任如何防止数据泄露？

全面解决数据泄露是一个非常复杂的系统工程，当前零信任解决方案可以解决访问控制环节的问题。从这个维度出发，首先梳理其数据的暴露面，通过构建保护面进行数据的安全防护，防止威胁接触数据资源。所以，零信任架构会对想要访问资源的用户、设备、应用进行认证、授权，确保其合法访问资源。其次，对用户的终端、网络、行为上下文等多源数据进行持续信任分析，评估其信任等级，决定其访问权限，通过动态调整，保证最小化权限访问。

通过上述回答，我们了解到零信任适用于各行各业的云、大、物、移等新场景新业务，同时传统网络架构也可以迁移至零信任以适应数字化发展。

《零信任从入门到精通》系列问答带大家从概念理解、支撑技术以及落地实施方向深入了解了网络安全热词“零信任”，它是以身份为基石的动态访问控制，通过持续业务评估来实现业务安全访问。零信任安全解决方案，能够帮助用户实现终端的环境感知、业务的访问控制与动态授权与鉴权，确保业务安全访问，最终实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构，构建组织的“内生安全”能力，极大地收缩暴露面，有效缓解外部攻击和内部威胁，为数字化转型奠定安全根基。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。