如今,企业的业务和商业流程已不再局限于物理环境内,传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求,企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。
在这样的大背景下,Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初,Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是网络分段,提倡通过加强细粒度授权和威胁管控来提升整体业务安全性。
随着时代的发展,业界逐渐开始将零信任与网络分段、以及加强网络分段的下一代防火墙技术联系起来。但是,零信任并不仅仅局限于网络分段,它是一个全新的安全理念,零信任的实现需要一系列复杂流程和技术的落地。因此,从 2018 年开始,Forrester 开始发布零信任拓展生态系统 Zero Trust eXtended (ZTX) 研究报告,并提出 7 个构成 ZTX 生态系统的主要元素,如下图所示:
下面我们将详细展开对这 7 个主要元素的探讨,全面揭秘零信任安全理念。
网络安全
网络安全能力,是零信任安全体系最为基础的能力要求。在ZTX模型中,需要重点关注的是如何实现网络隔离、网络分段和网络安全。简单来说,零信任中的网络安全能力可以理解为是支持微边界和网络分段的 NGFW(下一代防火墙)技术的产品能力,实现形式可以是硬件,也可以是虚拟化设备,或者是提供同等能力的软件形态。<