什么是零信任安全架構

零信任安全架構針對傳統邊界安全架構思想進行了重新評估和審視，并對安全架構思想提出了新的建議，是應對新IT時代的網絡安全挑戰的全新戰略。零信任安全架構理念可簡單概括為：應該始終假設網絡充滿威脅；外部和內部威脅每時每刻都充斥著網絡；不能僅僅依靠網絡位置來建立信任關系；所有設備、用戶和網絡流量都應該被認證和授權；訪問控制策略應該動態地、基于盡量多的數據源進行計算和評估。

零信任安全架構從本質上可概括為以方面：

• 以身份為中心：零信任安全架構的本質是以身份為中心進行動態訪問控制，全面身份化是實現零信任安全架構的前提和基石。基于全面身份化，為用戶、設備、應用程序、業務系統等物理實體建立統一的數字身份標識和治理流程。

• 業務安全訪問：在零信任安全架構下，所有的業務訪問請求（包括用戶對業務應用的訪問、應用API之間的接口調用訪問等）都應該被認證、授權和加密。

• 持續信任評估：零信任安全架構認為一次性的身份認證無法確保身份的持續合法性，即便是采用了強度較高的多因子認證，也需要通過度量訪問主體的風險，持續進行信任評估。例如，主體的信任評估可以依據認證手段、設備的健康度、應用程序是否為企業分發、主體的訪問行為、操作習慣等；環境的信任評估可以包括訪問時間、來源IP地址、來源地理位置、訪問頻度、設備相似性等各種時空因素。

• 動態訪問控制：在零信任安全架構下，主體的訪問權限不是靜態的，而是根據主體屬性、客體屬性、環境屬性和持續的信任評估結果進行動態計算和判定的。傳統的訪問控制機制是宏觀的二值邏輯，大多基于靜態的授權規則、“黑/白名單”等技術手段進行一次性的評估。零信任安全架構下的訪問控制基于持續度量、自動適應的思想，是一種動態微觀判定邏輯。

回答所涉及的環境：聯想天逸510S、Windows 10。