零信任较于传统接入方式的优势

零信任的概念设定其实是在一些假想条件之上才存在，它的核心思想就是没有绝对安全的网络，不管是内部还是外部反正我就啥也不信任，即使对于通过身份验证的用户而言，零信任对它的态度是信任了但没完全信任（手动狗头）。

零信任架构及核心技术

目前零信任的涉及到的核心技术一般有三个，即SDP（软件定义边界）、IAM（增强身份认证）和微隔离。

SDP基于控制通道与数据通道分离的设计，减少了企业业务在外网上的暴露面，只有通过特定客户端发送携带授信的种子/口令，服务器通过后，才可以响应连接要求。
但是仅具备授信种子还远远不够，要知道用户存在于互联网是基于各种数字标签的，身份管理的有效与否往往与权限访问数据资产相挂钩，流行的后台实名制虽然能在一定程度上加强身份管理，却不能保证访问过程中的设备安全和行为安全。
这时候，通过IAM技术就可以决定访问对象和访问方式（南北向流量的管控），而微隔离技术的存在，可以将企业资源更加细粒度分割（东西向流量的管控），将用户在应用层面的访问权限降到最小化。
三大技术协同完成“业务隐身”、“实时动态验证”、“最小访问权限” 安全防护功能，重新定义了传统互联网安全防护的基本逻辑。

而零信任的主流架构模式一般是控制中心与代理网关模式，前者负责控制层面的功能，比如身份验证授权；后者则是负责数据层面上的功能，比如代理访问内网的流量。
访问流量经过零信任的数据流如下图，首先访问流量会到达代理网关，代理网关会向控制中心获取此流量的用户信息，如果没有通过身份验证则会要求用户访问控制中心进行身份认证，认证若通过则是由控制中心下发用户身份验证信息给代理网关，之后代理网关代替访问主体去访问业务系统。

零信任较于传统接入方式的优势

优势1:缩小业务暴露面
首先先了解下传统接入方式的数据流：

对比一下其实很明显首先是一个直观的感受，传统的接入方式是认证与代理是由一个节点完成的，这也就导致了业务虽然隐藏了，但仍然对公网暴露认证页面，任意终端、任意人员、任意位置都可发起认证请求，仍存在利用SSL认证页面的漏洞扫描、注入攻击等风险，也就引出了传统接入方式的第一个弊端：缩小暴露面效果欠佳。
零信任的认证与代理流量是分隔开的，业务隐藏到代理网关之后，即使控制中心受到了网络攻击，内部的业务依旧不会受到任何影响。

优势2:动态调整访问权限，访问行为可控
传统接入方式一旦静态访问权限认证通过后业务访问权限不会进行调整，默认接入内网等于进入“安全地带”，并且接入后访问业务行为不可视不可控异常行为、可疑行为无法及时发现及处置，也就是第二个弊端：访问权限固化，访问行为不可控
零信任可以通过安全可信的情况下，简化认证操作，增强访问体验，周期性对终端安全检查，身份、环境异常存在安全隐患时，自动进行增强认证，比如检测到了用户端已被感染僵尸病毒或者中了木马，则会对用户进行进一步认证。

优势3：周期性终端安全检查
传统的边界接入方式缺少业务访问全周期的检测能力，接入时候安全可信，不代表访问业务过程一直是安全可信的，所以第传统接入的第三个弊端：缺乏终端安全周期性检查
而零信任可以从粗粒度准入走向精细化准入，从粗暴网络准入走向业务准入，从仅登录环节检测到全访问周期持续检测；比如它可以要求终端安装某些杀毒或者防护软件才能访问某个特定的业务系统，从用户侧方面保障业务系统的安全。