網(wǎng)絡安全行業(yè)中經(jīng)常提起零信任,，零信任是什么呢？

　　零信任安全架構從本質(zhì)可概括為以身份為基石的動態(tài)訪問控制,，是在不可信的現(xiàn)代網(wǎng)絡環(huán)境下,，通過動態(tài)訪問控制技術，以細粒度的應用,、接口,、數(shù)據(jù)為核心保護對象，遵循最小權限原則,，構筑端到端的邏輯身份邊界,。

　　然而，對各類IT專業(yè)從業(yè)人員來說,，零信任的意義也許是不相同的,。零信任可能代表著最終的安全狀態(tài)，也可能指提升安全能力所需的指導原則或框架,。我們?nèi)绾卧诓煌斫獾那闆r下運用零信任保障企業(yè)安全呢,？

　　網(wǎng)絡層面的安全

　　傳統(tǒng)邊界防御架構關注防護能力的構建，對網(wǎng)絡攻擊進行識別,、檢測,、防護和閉環(huán)響應。邊界安全模型區(qū)分內(nèi)網(wǎng)和外網(wǎng),，通常被比作中世紀的城堡：有著厚厚的圍墻,，被護城河環(huán)繞,，守衛(wèi)森嚴，僅有單個入口和出口,。任何墻外的東西都被認為是危險的，任何墻內(nèi)的東西都是安全可信的,。

　　然而,，如今網(wǎng)絡環(huán)境越來越復雜，業(yè)務頻繁多樣,，數(shù)據(jù)流動加快,，攻擊和破壞不再僅發(fā)生于網(wǎng)絡層面了，其他IT棧堆組件也可能成為發(fā)起攻擊造成破壞的載體,。

　　應用層面的安全

　　我們以未經(jīng)授權訪問下最主要攻擊向量企業(yè)應用舉例,，通常用戶只要通過網(wǎng)絡身份驗證后，就可以直接訪問應用,。但是,，如今企業(yè)應用會收到層出不窮的攻擊侵害，僅憑驗證用戶身份是不能夠全面防護威脅的,。

　　簡言之,，即使企業(yè)已經(jīng)針對網(wǎng)絡層面實施安全防護，也并不意味著企業(yè)應用受到了適當?shù)谋Ｗo,。

　　若要在應用層面實施零信任,，則需要重新考慮每個應用的訪問方式、交互通信方式,、數(shù)據(jù)共享以及用戶身份認證等多個因素,。這時，安全實施者不再是從代碼漏洞的角度審視應用本身,，而是應該去了解應用該擁有或者說可以接受的行為,。

　　理想情況下，應用也該被分配基于行為的安全身份以確定權限,。

　　在應用層面實施零信任

　　在應用層面實施零信任意味著需要分析每個應用的行為,，用來驗證某個應用執(zhí)行的功能屬于是適當?shù)牟⑶遗c數(shù)據(jù)文件的交互也符合權限。在分析的同時,，可以為建立應用的行為參數(shù)庫,，對其建立安全標識。

　　實施應用層面的零信任,，可以參考以下步驟：

　　發(fā)現(xiàn)并歸類所有企業(yè)應用程序,；

　　觀察、監(jiān)控應用行為,，建立預期,、授權活動的基線,；

　　消除在行為分析過程中發(fā)現(xiàn)的任何安全風險（即不必要的權限、過大的權限,、風險依存關系等）,；

　　創(chuàng)建針對應用活動的強制安全策略，僅允許授權行為,；

　　違反策略時將警報推送至控制點,，以便觸發(fā)糾正措施來補救威脅。

　　在這種情況下,，每個應用都有信任范圍,，并且權限只能限制在正常運行所需的權限。任何類型的攻擊都屬于正常行為范圍之外,，能夠觸發(fā)警報或關閉應用會話,，有效阻止任何未經(jīng)授權的活動或受限訪問資源。

　　網(wǎng)絡安全從業(yè)人員保護的不僅是網(wǎng)絡,，還要保護數(shù)據(jù),、身份、應用等,。將零信任應用于應用層面,，以身份為基石，基于行為持續(xù)評估信任,，動態(tài)地調(diào)整策略,，確保員工能安全地開展業(yè)務。這樣,，減少了攻擊面,，網(wǎng)絡安全團隊能實現(xiàn)更全面地保護，企業(yè)避免遭受安全風險,。