零信任安全的原則

零信任安全的原則如下：

持續監控和驗證

零信任網絡背后的理念是假設網絡內部和外部都有攻擊者，所以沒有用戶或機器應該被自動信任。零信任驗證用戶身份和權限，以及設備身份和安全。在登錄和建立連接后，經過一段時間就會超時，迫使用戶和設備不斷重新驗證。

最低權限

零信任安全的另一原則是最低權限訪問。也就是說，僅向用戶授予必要的訪問權限，就像軍隊中的將領僅在必要之時將信息告知士兵一樣。這樣能最大程度減少各個用戶接觸網絡敏感部分的機會。

實施最低權限涉及謹慎管理用戶權限。VPN 不太適合用于最低權限的授權方式，因為登錄 VPN 后，用戶可以訪問連接的整個網絡。

設備訪問控制

除了用戶訪問控制外，零信任還要求對設備訪問進行嚴格控制。零信任系統需要監控有多少不同的設備在嘗試訪問他們的網絡，確保每個設備都得到授權，并評估所有設備以確保它們沒有被入侵。這進一步減少了網絡的攻擊面。

微分段

零信任網絡也利用微分段。微分段是一種將安全邊界劃分為小區域的做法，以分別維護對網絡各個部分的訪問。例如，將文件存放在利用微分段的單個數據中心的網絡可能包含數十個單獨的安全區域。未經單獨授權，有權訪問其中一個區域的個人或程序將無法訪問任何其他區域。

防止橫向移動

在網絡安全領域，“橫向移動”是指攻擊者進入網絡后在該網絡內移動。即使攻擊者的進入點被發現，橫向移動也難以檢測到，因為攻擊者會繼續入侵網絡的其他部分。

零信任旨在遏制攻擊者，使他們無法橫向移動。由于零信任訪問是分段的且必須定期重新建立，因此攻擊者無法移動到網絡中的其他微分段。一旦檢測到攻擊者的存在，就可以隔離遭入侵的設備或用戶帳戶，切斷進一步的訪問。（在城堡和護城河模型中，如果攻擊者可以橫向移動，則隔離原始遭入侵設備或用戶幾乎沒有效果，因為攻擊者已經到達了網絡的其他部分。）

多因素身份驗證 (MFA)

多因素身份驗證 (MFA) 也是零信任安全的核心價值觀。MFA 意味著需要多個證據來對用戶進行身份驗證；僅輸入密碼不足以獲得訪問權限。MFA 的一種常見應用是 Facebook 和 Google 等在線平臺上使用的雙因素授權 (2FA)。除了輸入密碼之外，對這些服務啟用 2FA 的用戶還必須輸入發送到其他設備（例如手機）的代碼，從而提供兩個證據來證明自己是聲稱的身份。

回答所涉及的環境：聯想天逸510S、Windows 10。