什么是零信任

本文分享自天翼云开发者社区《什么是零信任》，作者：陈晓

零信任是什么
传统的可信任体系已经不能解决企业快速发展所带来的安全威胁，零信任提出了新的方案建议，重构安全体系。

零信任由 Forrester 首席分析师 John Kindervag于2010 年最早提出，于2017年谷歌BeyondCorp实现零信任架构，其中2014年CSA发布SDP标准规范1.0，从2018年开始进入了发展期，各大厂商进行大力推进零信任架构实现。

那么总结起来，零信任是一种安全理念，而非一种技术或者应用。零信任是基于访问主体身份、网络环境、终端状态、访问行为等尽可能多的信任要素对所有用户进行持续验证、动态授权，零信任的理念是“持续验证，永不信任”，这和传统的区分内外网建立可信边界有本质的差异。

零信任核心技术SDP

零信任的理念和架构，随着实践和环境的变化而发展。那么实现零信任架构需要多个组件进行协调配合，完成身份认证、终端环境评估、访问行为分析，进行持续化的可信评估，并自动化进行处置。其中核心技术主要是SDP（软件定义边界）

软件定义边界（Software-Defined Perimeter，SDP）是由云安全联盟（CSA）于2013年提出的一种以身份为中心实施对资源访问控制的安全框架,

是零信任模型的一种实现方式，由3大组件构成，分别是：
SDP Client：SDP客户端软件,用于用户设备认证、集成终端安全评估能力
SDP Gateway：SDP业务代理网关，实现网络隐身，细粒度的访问控制能力
SDP Controller：SDP控制中心，主要针对连接进行管理，动态策略下发等
SDP通过网络隐身、可信评估、最小授权等能力提供安全的业务访问，非在边界处防御攻击，而是提供持续验证，动态授权能力，为企业提供更安全、更便捷的安全访问能力，降低企业安全威胁

零信任应用场景

基于当前企业办公的安全问题，目前大部分落地的应用场景主要是解决在多环境+多终端的办公场景需求，替代传统VPN提供更稳定、更便捷、更安全的企业远程访问需求

解决如下问题：
1、员工出差到海外，访问国内办公网络延时高，体验差
2、有高频的移动办公需求，解决个人移动设备无法有效管控的问题
3、有效降低企业员工被钓鱼导致企业数据、信息被泄漏的风险
4、针对集团性企业、供应链单位存在的合作模式，提供外部合作伙伴接入的有效管理办法，降低安全威胁。