零信任架构

企业中计算和数据的结构不断变化：从单一应用程序到微服务；从集中式数据湖到数据网格；从本地托管到聚合云。与此同时，随着连接设备的激增，保护企业资产的方法在很大程度上仍保持不变。随着资产（数据、功能、基础架构和用户）跨越安全边界（本地主机，多云提供商以及各种 SaaS 供应商），组织的技术版图正在变得越来越复杂。这就要求企业安全计划和系统架构进行范式转变：从基于信任区和网络配置的静态、缓慢改变的安全策略，转变为基于临时访问权限的动态、细粒度的安全策略。这种持续的趋势迫使我们再次强调“零信任架构”。

零信任架构（Zero trust architecture，ZTA）是组织针对其所有资产（设备、基础设施、服务、数据及用户）实施零信任安全原则的策略和流程，以及对最佳实践的践行（包括不论网络位置确保所有访问和通信的安全、强制基于最小权限原则并尽可能细粒度控制的策略即代码、持续监控和自动缓解威胁等）。零信任架构是安全体系结构及策略的一种模式转变。它基于这样的假设：网络边界不再代表安全边界，不应仅基于物理或网络位置授予用户或服务隐式信任。用于实现零信任架构各个方面的资源，工具以及平台的数量持续增长，其中包括：以最小特权为基础，执行安全策略即代码，尽可能细化原则，并持续监控和自动缓解威胁；使用服务网格来实施应用到服务和服务到服务的安全控制；使用二进制鉴证以验证二进制文件的来源；除传统加密外，还包括安全区域，以强制实施数据安全性的三大支柱：传输，静态和内存。