零信任架构在企业中的应用

⼀、前⾔：

“零信任⽹络”（亦称零信任架构）⾃2010年被当时还是研究机构Forrester的⾸席分析师JohnKindervag提出时起，便⼀直处于安全圈的“风⼝浪尖”处，成为众⼈不断争议与讨论的对象，有⼈说这是未来安全发展的必然产物、也有⼈说其太过超前⽽⽆法落地，但⽆论“零信任”如何饱受争议，不可否认的是随着“零信任”的⽀撑技术逐渐发展，这个从前只存在于理论上的“安全最优解”正逐步成为现实。

在2019年9⽉份，⼯信部公开征求对《关于促进⽹络安全产业发展的指导意见（征求意见稿）》的意见中，《意见》指出到2025年，要培育形成⼀批年营收超过20亿的⽹络安全企业，形成若⼲具有国际竞争⼒的⽹络安全⾻⼲企业，⽹络安全产业规模要超过2000亿。除了提出对市场规模和⽹安企业的要求，该《意见》还将“零信任安全”列⼊⽹络安全需要重点突破的关键技术。

那么究竟什么是“零信任安全架构”，他与传统的边界模型⼜有什么区别。美创安全实验室从本周起将分三期带⼤家详细了解“零信任”的成长始末。

⼆、什么是零信任⽹络

“零信任”是⼀个安全术语也是⼀个安全概念，它将⽹络防御的边界缩⼩到单个或更⼩的资源组，其中⼼思想是企业不应⾃动信任内部或外部的任何⼈/事/物、不应该根据物理或⽹络位置对系统授予完全可信的权限，应在授权前对任何试图接⼊企业系统的⼈/事/物进⾏验证、对数据资源的访问只有当资源需要的时候才授予。

简单来说，“零信任”的策略就是不相信任何⼈。除⾮⽹络明确知道接⼊者的⾝份，否则任谁都⽆法接⼊到⽹络。现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中需要更加明确的信息才可以，不知道⽤户⾝份或者不清楚授权途径的请求⼀律拒绝。

⽤户的访问权限将不再受到地理位置的影响，但不同⽤户将因⾃⾝不同的权限级别拥有不同的访问资源，⽽过去从外⽹登陆内⽹所需的VPN也将被⼀道废弃。零信任对访问控制进⾏了范式上的颠覆，引导安全体系架构从“⽹络中⼼化”⾛向“⾝份中⼼化”，其本质诉求是以⾝份为中⼼进⾏访问控制。

这与⽆边界⽹络概念有点类似。在⽆边界⽹络概念中，最终⽤户并不是所有都位于办公室以及防⽕墙后，⽽是在远程⼯作，使⽤他们的iPad或者其他移动设备。⽹络需要了解他们⾓⾊的更多信息，并明确哪些⽤户被允许连接⽹络来⼯作。

零信任架构是对企业级⽹络发展趋势的回应，企业级⽹络开始包含远程⽤户和位于企业⽹络边界的基于云的资产。零信任架构关注于保护资源、⽽⾮⽹络分段，因为⽹络位置不再被视为资源安全态势的主要组成部分。

三、为什么选择零信任网络

1. ⽹络安全形式⽇趋严峻，急需⼀种有效的解决⽅案

美国⽹络安全公司 CybersecurityVentures 发布的《2017年度⽹络犯罪报告》预测，到2021年，⽹络犯罪所致全球经济损失总额将达6 万亿美元/年，⽐2015年的3万亿美元⾜⾜翻了⼀倍。同时，波耐蒙研究所在IBM资助下所做的《2017数据泄露研究》发现，数据泄露事件所致平均损失为362万美元。尽管该数字⽐上⼀年有所下降，但数据泄露事件的平均规模却上升了1.8%，达到了平均每起事件泄露2.4万条记录之多。

企业⾼管们认识到了如果仅仅依靠现有安全⽅法并不⾜以应对愈趋严峻的安全态势，他们需要更好的东西，⽽零信任模型恰好就能得到最好的结果。“零信任模型”基本上打破了旧式边界防护思维，旧式思维专注防御边界，假定已经在边界内的任何事物都不会造成威胁，因⽽边界内部事务基本畅通⽆阻，全部拥有访问权限。

但越来越多的安全专家和技术专家并不认同边界防御的效果。尤其是最近⼏起严重的数据泄露事件都是因为⿊客突破了外部防御后，便潜伏      于企业内⽹，利⽤内部系统漏洞和管理缺陷逐步获得更⾼级权限，⽽⿊客在公司内⽹下的横向移动过程中⼏乎没遇到什么阻碍。这也证明曾      经⼤多数⼈主张的“内部⽹络是安全的”这⼀论点从根本上就是错误的。

IT系统的⼀个固有问题在于，太多东西可以经由默认连接⽽“四处巡游“。⼈们的信任值过⾼，这也是互联⽹得以腾飞的原因所在，因为每个⼈都可以在任何时间任何地点共享任何东西。但“信任”也是⼀把双刃剑，这也是互联⽹安全的症结所在：如果你信任所有东西，你就没机会保证任何东西的安全。

2. 云技术的崛起，打破了传统网络架构

如今企业的IT部门为什么急需⼀种新的安全思维，直接原因是⼤部分是⽹络边界已经不存在了，纯内部系统组成的企业数据中⼼不再存在，企业应⽤⼀部分在办公楼⾥，⼀部分在云端分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应⽤。根本原因是云技术近⼏年的⼤⼒发展初显成效，云防⽕墙技术逐渐成熟、云计算的算⼒不断提升导致云服务器⼏乎成为了每家企业的必要设备。

⽽随着云技术的不断深⼊可能导致各种⼈员通过不同⽅式接⼊企业⽹络，对原有的企业内⽹架构造成冲击，到时候内⽹可能回和外⽹⼀样透明，毫⽆隐私⽽⾔，这⼀点与当初架构的设计理念可以说是⼤相径庭，因此我们必须寻求⼀种能适应云服务的全新架构，⽽“零信任架构“也能满⾜这个需求。

综上所述，由于种种宏观变化，都推动了“零信任⽹络“的发展与流⾏，⾯对⼯作更加移动化和云端化，曾经给过我们⽆数安全感的”防⽕墙“不得不逐步退后，割舍⾃⼰曾经“主导的阵地”，⼀直后退到需要保护的资产⾝边，这也恰恰是“零信任⽹络”所追求的场景。

四、零信任⽹络与传统安全模型

传统的安全模型是以边界模型为基础⽽逐步完善的，传统的基于边界的⽹络安全架构通过防⽕墙、WAF、IPS等边界安全产品/⽅案对企业⽹络边界进⾏重重防护。它的核⼼思想是分区、分层（加强纵深防御）。边界模型专注防御边界，将攻击者尽可能挡在外⾯，假定已经在边界内的任何事物都不会造成威胁，因此边界内部基本畅通⽆阻。

⽽反观“零信任架构”，“零信任⽹络“强调的是永不信任和始终验证，不信任任何⼈、事、物。JohnKindervag在提出“零信任”概念时提出过三个原则：

① 不应该区分⽹络位置。
② 所有的访问控制都应该是最⼩权限且严格限制。
③ 所有的访问都应当被记录和跟踪。

如果说传统⽹络安全模型是⽤“城墙”将⼈民保护在⼀起，那么“零信任⽹络”则是“城门⼤开”，但是每个民众都配备⼀个⼠兵保护。相⽐于⽤⼴阔的“城墙”来防护，这种“点到点”的防护策略显得更加灵活与安全。

那么我们是否可以彻底舍弃城墙，完全转为这种灵活的安全策略呢？

答案显然是否定的，传统防⽕墙⾄今仍可以抵御80%以上的攻击，如果完全舍弃防⽕墙⼀类的传统安全产品全部使⽤“零信任“的策略，由于”零信任“需要⾜够强的带宽来⽀撑⼤量的访问控制请求，那么势必会消耗⼤量的⽹络资源，造成卡顿，请求超时等等后果还有可能影响业务功能的正常使⽤。所以在传统边界防护的基础上搭建”零信任架构“才是最好的选择。

五、零信任⽹络的设计原则

“零信任架构“提供了旨在消除在信息系统和服务中实施准确访问决策时的不确定性的⼀系列概念、思想和组件关系（体系结构）。为了减少不确定性，“零信任”在⽹络认证机制中减少时间延迟的同时更加关注认证、授权、以及可信域。访问规则被限制为最⼩权限。

在Evan Gilman《零信任⽹络》⼀书中，根据“零信任⽹络”的创建理念在合理的推测下被描述为建⽴在以下五个基本断⾔上：

① 应该始终假设⽹络充满威胁。
②  外部和内部威胁每时每刻都充斥着⽹络。
③  不能仅仅依靠⽹络位置来建⽴信任关系。
④ 所有设备、⽤户和⽹络流量都应该被认证和授权。
⑤ 访问控制策略应该是动态的基于尽量多的数据源进⾏计算和评估。

五个断⾔简单易懂但⼜直击要害，由此可以看出，“零信任”的理念已经从边界模型“信任但验证”转换到“从不信任，始终验证”的模式。所以我们在此基础上进⼀步推理可以总结出在“零信任架构”的设计下要遵循的六点基本原则：

① 所有的数据源和计算服务都被认为是资源。
②   所有的通信都是安全的，⽽且安全与⽹络位置⽆关。
③   对单个企业资源的访问的授权是对每次连接的授权。
④ 对资源的访问是通过策略决定的，包括⽤户⾝份的状态和要求的系统，可能还包括其他⾏为属性。
⑤ 企业要确保所有所属的和相关的系统都在尽可能最安全的状态，并对系统进⾏监控来确保系统仍然在最安全的状态。
⑥ ⽤户认证是动态的，并且在允许访问前严格执⾏。

六、零信任架构的逻辑组成

在组织和企业中，构成零信任架构部署的逻辑组件通常有很多，《NIST  SP800-207：零信任架构草案》中描述了⼀种典型的⽅案逻辑及核⼼产品组件：

策略引擎（Policy  Engine）：该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使⽤企业安全策略以及来⾃外部源（例如IP⿊名单，威胁情报服务）的输⼊作为“信任算法” 的输⼊，以决定授予或拒绝对该资源的访问，策略引擎的核⼼作⽤是信任评估。

策略管理器（Policy  Administrator）：组件负责建⽴客户端与资源之间的连接。它将⽣成客户端⽤于访问企业资源的任何⾝份验证令牌或凭据。它与策略引擎紧密相关并依赖于其决定最终允许或拒绝连接，策略管理器的核⼼作⽤是策略判定点，是零信任动态权限的判定组件。

策略执⾏点（Policy Enforcement Point）：这实际上是⼀个组件系统，负责开始，持续监控、并最终结束访问主体与访问客体之间的连接。策略执⾏点实际可分为两个不同的组件：客户端组件（如⽤户笔记本电脑上的agent）与资源端组件（如资源前控制访问的⽹关），策略执⾏点的核⼼作⽤是确保业务的安全访问。

除了以上核⼼组件外，还有进⾏访问决策时为策略引擎提供输⼊和策略规则的许多数据源。包括本地数据源和外部数据源，具体包括：

持续诊断和缓解计划系统（CDM  System）：该系统收集关于企业系统当前状态的信息，并将更新应⽤到配置和软件组件中。企业CDM系统还提供给策略引擎关于系统访问请求的信息。

⾏业合规系统（Industry   Compliance   System）：该系统确保企业与当前政府管理的⼀致性。包括企业开发的所有策略规则来确保合规。

威胁情报流（Threat Intelligence）：该系统提供帮助策略引擎进⾏访问决策的信息。

数据访问策略（Data   Access   Policy）：数据访问策略是企业为企业资源创建的关于数据访问的属性、规则和策略的集合。策略规则集可以编码在策略引擎中或有PE动态⽣成。

企业公钥基础设施（PKI）：该系统负责⽣成和记录企业对资源、应⽤等发布的证书。既包括全局CA⽣态系统和联邦PKI。

ID管理系统（ID    Management）：系统负责创建、保存和管理企业⽤户帐户和⾝份记录。系统中既含有必要的⽤户信息，也含有其他企业特征，⽐如⾓⾊、访问属性、或分配的系统。

安全应急和事件管理系统（SIEM      System）：集合了系统⽇志、⽹络流量、资源权利和其他信息的企业系统为企业信息系统体佛那个安全态势的反馈。

七、零信任评估中所涉及的7个主要技术维度

Forrester对厂商的评估包括多个维度的一系列的指标，例如收入，厂商的零信任的战略和对零信任的宣传，以及API集成能力等。本文主要关注的是Forrester在零信任评估中所涉及的7个主要技术维度，即

网络安全

设备安全 

人员/身份安全

工作负载/应用安全

数据安全

可见性和分析

自动化和编排

7个技术维度，每个都分别打分，有不同的权重，每项得分有了1、3、5三个不同的值，其中1分最低，5分是最高分，本文将从这7个技术维度逐一展开说明。

① 网络安全

网络安全能力是零信任最初关注的核心能力，在ZTX模型中，主要关注的是如何实现网络隔离和分段，以及最终安全性的原理是什么。在这个维度中，得到最高分5分的厂商最多，达到了7家，这也与零信任最初的切入点吻合。这7家分别是Check Point、Cisco、Palo Alto Networks、Symantec、Forcepoint、Okta、Cyxtera Technologies。简单来说，零信任的网络安全能力可以理解为是支持微分段和微边界的NGFW产品定义的能力，产品形态可以是硬件形态也可以是虚拟化设备或其它可以提供同等能力的软件形态。

零信任网络安全的关键架构组件包括网络分段网关，微内核和微边界。网络分段网关作为网络的核心，集成了各个独立安全设备的功能和特点，从防火墙、IPS、WAF、NAC、VPN等。它支持高速多个10GB接口，可以高性能的检查所有流量。通过微内核和微边界，连接到“网络分段网关”的每个接口都有自己的交换区。每个交换区都有一个微内核和microperiodier（MCAP），具有相同的安全信任级别。这实际上将网络划分为并行、安全的网段，这些网段可以都单独扩展，以满足特定的法律合规性要求或管理需求。下面以几个典型产品为例简单说明。 

Check Point的零信任网关可以在整个IT基础架构以及私有/公共云和公司网络环境中对网络进行微分段，它可以全面控制所有东西向流量，可以准确地检查和阻止网段之间的未授权流量，同时仅允许绝对最小的合法流量。

 

Palo Alto的零信任网关主要是其下一代防火墙，它是单通道软件架构来实现这一目标，具有独立的控制和数据平面，加上特定功能的并行处理硬件引擎来处理流量。

②  设备安全

零信任安全架构中的设备安全的能力需要持续监控网络上的所有设备。除了“看到”传统服务器、PC、笔记本电脑和智能手机之外，还包括在连接到网络的物联网和IOT设备、外设、网络基础设施组件和恶意的设备，虚拟机、工作负载等软设备形态。根据预先收集的有关设备类型设备允许、拒绝或限制对内部网络资源的访问，从而强制让设备的行为符合执行预期。同时还可以根据已建立的策略发出通知并启动设备修复。连接后，平台持续监视设备，以确保设备行为不会偏离策略。关键点在于对设备的持续发现和安全性检查的能力，这一点有别于传统的NAC设备一次检查永久信任的模式。 

设备安全相对比较容易理解，Forrester Wave™评分中得到5分有4家企业，分别是Forescout、Cisco、Proofpoint、MobileIron。下面以Forescout为例简单说明。 

 Forescout是传统NAC的标志性厂商，它通过对SecurityMatters的收购，将设备安全的能力扩展到了IOT环境中。它的零信任设备安全实践很有代表意义。它可以全面了解企业内所有的IP连接设备，包括数据中心、云和IOT设备，并对设备安全性和配置状态的深入检查，以确定设备的风险态势。Forescout策略引擎根据设备的风险态势，将企业的安全策略和分段策略转换为单个实施产品应用的规则。

 ③ 人员/身份安全 

人员/身份安全是关注于使用网络和业务基础架构的人员的安全，减少这些合法用户身份所带来和造成的威胁。攻击者获取敏感数据的最简单方法之一就是凭证盗用。一旦进入目标网络，攻击者一般都会扩大攻击范围，并在网络中横向移动，寻找特权帐户和凭据，帮助他们访问组织最关键的基础设施和敏感数据。人员安全主要是身份和访问管理（IAM），大多数应用程序和服务交互都与角色和权限（用户、组和服务帐户）有某种关联，因此零信任策略对象的重要主体是身份和账号。

这应该是零信任中最容易被理解的一个维度了，在Forrester Wave™评分中得到5分有6家，分别是Akamai、Cisco、Google、Proofpoint、Okta、MobileIron。下面以Okta为例简单说明

Okta的身份认证逻辑分为三个阶段，1、实现统一身份访问管理。对访问管理系统下进行整合，通过单点登录（SSO）完成的第一阶段整合。2、实现上下文访问管理。通过收集关于用户上下文信息（即他们是谁？他们是一个有风险的用户群吗？），应用程序上下文（即用户试图访问的应用程序）、设备上下文、位置和网络等信息进行综合判断，对于可能存在风险用户配合多因子身份认证进行二次验证。3、自适应的身份鉴别。这是与传统上身份验证区别最大的地方，不再是一次验证通过就获得这次会话的完全信任，而是通过自适应的、基于风险的评估来识别潜在威胁，在用户体验的整个过程中持续进行。这是第2阶段的上下文响应中添加了一个智能的、基于风险的引擎，并允许基于这些上下文信号的风险评分来确定特定身份验证事件的风险，并基于这种判断提示进行附加的身份验证。这里的关键是要避免因为误报而导致对用户正常操作的干扰。

 

④ 工作负载/应用安全 

 过去10多年伴随着云计算的蓬勃发展，工作负载安全的重要性日趋凸显，无论是私有云还是公共云中的工作负载，例如应用程序、虚拟机、容器、Serverless等都容易受到攻击。要实现基于零信任的工作负载安全，首先要弄清楚组织内部的工作负载资产情况，构建工作负载、安全组、实例和防火墙的实时拓扑，通过自适应访问策略，根据工作负载的任何变化自动调整，这些策略是强制执行，可以自动发现并纠正错误的工作负载系统配置，同时，可以通过调用IPS、恶意软件检测等安全引擎实现威胁防护。 

在产品和能力提供上，零信任的工作负载安全通过提供基于身份的代理网关，降低了应用和工作负载的暴露面，无论应用和工作负载在什么地方，未经授权的人员和设备都是看不见这些资源的。同时可以配合其它的传统安全手段，强化应用和工作负载的安全性。

 

应用和工作负载的零信任，在Forrester Wave™评分中得到5分有3家，分别是Akamai、Google、Cyxtera 。他们都是SDP的实践者，下面以Akamai为例简单说明。

Akamai是CDN的发明者和服务提供商，它原有的24万台服务器的代理平台也是它转型到以SDP提供零信任服务的重要因素。Akamai的IAP模型与Google的Beyond Corp模式相似。它通过企业应用程序访问（EAA）云产品提供工作负载保护的服务。

EAA允许企业通过Internet（无论是托管在云中还是在数据中心中）提供对私有应用程序的访问，并执行最小特权和零信任的原则。只有经过身份验证的用户和设备才能访问他们有权访问的内部应用程序，并且不需要打开或维护入站防火墙端口。EAA将数据路径保护，单点登录，身份访问，应用程序安全以及管理可见性和控制功能集成到由Akamai智能平台支持的基于云的单个服务中。它最终可以保护私有企业应用程序，从而最大程度地减少了攻击面并使企业基础结构和数据对公众不可见。 它是基于云的服务，并从一个单一窗口访问基于Web的应用程序，框架内也可以与传统的安全服务集成，例如高级威胁防护，Web应用程序防火墙等。

 

 ⑤ 数据安全

零信任架构的核心是回归本源，聚焦于保护数据的安全，构建以数据为中心的安全。从数据安全着手建立零信任体系相对容易落地，也更容易以最好的ROI产生效果。无论数据处于在终端、应用服务器、数据库、SaaS应用程序之中，无论在组织网络内部或外部，无论数据是处于流动状态还是使用状态，都需要通过一定的技术手段，防止数据的泄露。Forrester Wave™在评估时主要关注如何实现数据的分类，隔离，加密和控制等安全措施。

虽然零信任架构的实践目前以网络微隔离、增强IAM（IDAAS等）、SDP这些形式为主，但本质上这些零信任的实践还是围绕是以实现数据安全为核心。在Forrester Wave™7个技术维度的权重中，数据安全权重17%也是最高的（网络安全权重12%，身份安全权重15%）。但是在数据安全这个维度中拿到最高分5分的企业却只有一家，远小于网络安全等其它维度，这是一个很有意思的现象。

零信任数据安全的保护应用于数据本身，与数据的位置无关。为了有效，敏感信息应在进入组织的IT生态系统后立即被自动标识出来，并应通过在整个数据生命周期中持续的保护。

典型实现包括安装在每个终端上的部署代理，在云和网络上部署探针设备，这些代理和探针由一个集中管理控制台控制，管理员在该控制台中为每个终端代理、每个用户、每个探针定义数据类型和采用适当的保护形式。作为以数据为中心的网络设计，该设计本质是在特定数据或资产周围放置了微边界，以便可以执行更细粒度的规则。这个一般分为4个步骤：

1、识别敏感数据：这看似简单，但要落地，远比想象的更具挑战性。保护看不见的数据是不可能的。识别数据后，有必要使数据分类有用，而简化是关键。

2、映射敏感数据的数据流：了解数据如何在网络内、跨网络以及在用户和资源之间流动。这里的数据既包括结构化半结构化数据，也包括非结构化的文档数据，数据流的形成是一个必要而艰难的过程。

3、创建自动化规则库：确定访问控制的规则，形成数据安全策略。要定义这些规则，必须了解哪些用户、应用和数据之间的关系。

4、持续监控持续调整：通过持续监控，并根据用户的行为和风险，自适应的调整用户的安全策略，采用不同的响应手段。

常见数据安全防护的技术包括文档加密、数据库加密、磁盘加密、数据脱敏、DLP(数据防泄漏)、数据库审计、虚拟沙箱、UEBA、CASB等。与SDP、IDAAS、微隔离等相比，这些看似不是新的名词和定义，理论上应该有更好的表现，但Forrester Wave™选的14家厂商中只有ForcePoint拿到了最高分5分，数据安全整体得分是7个技术维度中最低的，甚至长期在GartnerDLP魔力象限领导者的Symantec也只被评估为3分，为什么会出现这种情况？这是一个很有意思的话题，Forrester评价Symantec产品组合中唯一真正的缺陷是其传统的DLP方法。客户“并未真正按预期使用DLP”。但是，实际上，对于当今行业中的大多数DLP工具来说，这很常见。传统DLP的问题本文就不展开讨论了。不过，笔者一直认为，数据安全相对而言是零信任理念和架构最容易落地的一个维度，一个好的数据安全方案和产品可以基本不改变用户原有的网络架构，不改造用户原有的应用系统，不影响用户原有的使用习惯，以轻量级代理的模式介入到用户环境中，达到一个性价比相对价高的零信任安全结果。因为Forrester Wave™在数据安全维度下只有ForcePoint得到最高的5分，下面以ForcePoint为例简单说明。

Forcepoint的解决方案是围绕DLP和CASB构建数据安全平台，同时关注用户在终端上的行为监控和实体行为分析。Forcepoint将数据分为两大类，一类是个人信息类数据，另一类是知识产权类数据。对个人信息类数据，它集成各种合规检查和报告，可以帮助用户实现数据隐私法规的合规，例如GDPR、CCPA、PCI DSS等。对于知识产权类数据通过机器学习、指纹等方式定义和识别数据，制定数据访问规则，并持续监控、分析和调整。Forcepoint将看似无关的数据安全事件进行关联分析，通过事件风险排序（IRR）将不同的指标融合到机器学习模型中，以评估数据风险发生的可能性。它通过一个仪表板为管理员提供了整个企业（包括端点，网络和云应用程序）受保护数据的统一视图。

 ⑥ 可见性和分析

这一个维度相对来说入围的各个厂商都做了不少工作，因为没有对安全的可见性和分析，产品的价值是无法体现出来的。看不见或看不懂的东西是无法被保护的，Forrester在这个维度主要关注技术或解决方案是否提供有用的分析和数据支撑，并尽量消除系统和基础架构中存在的死角。这在不同的关注维度下有不同的支撑场景和实现，需要在对需求，客户、业务和技术多维度的综合认知指引下，定义出产品自身的分析和可视化逻辑，本文就不展开分析了。

在Forrester Wave™评分中得到5分有7家企业，分别是Check Point、Cisco、Palo Alto Networks、Forcepoint、Forescout、Unisys、Illumio。下面以Illumio为例简单说明。

Illumio的自适应安全平台提供实时的应用程序依赖关系映射和安全分段，以阻止数据中心和云环境内部的横向移动。这对对跨异构计算环境的工作负载之间的连通性的可见性有较高的要求，它提供了异构环境中工作负载的实时显示，自动的发现和分类和全面的可视化审核。Illumio的核心能力是在整个基础架构中提供定义明确且清晰可见的资产图。

 ⑦ 自动化和编排

零信任安全体系结构要发挥最大的价值，需要与更广泛的IT环境集成，可以改进的事件响应的速度，提高策略的准确性和并自动分配任务等。Forrester在这个维度主要关注技术或解决方案如何实现基于零信任原则的自动化和编排，并使企业能够对不同的系统进行更强大的控制。它认为如果工具具有辅助自动化和编排的技术能力，并且还可以进行细分，还不足以成为平台。但是，如果工具或技术支持微隔离和加密，集成了自动化和编排功能，并且具有完善的API，开发人员可以通过该API内置其他零信任功能，则可以将其视为平台。

通过自动化和编排，可以将重复和繁琐的安全任务转换为自动执行、计划执行或事件驱动的自定义工作流。可以动态地将安全策略中的对象与外部资料关联（如AD等IAM身份管理系统），以释放大量的工作人员时间，并减少由于人为错误而出错的机会。可以通过使用算法和经验值来自动识别安全事件，并更改访问策略规则进行响应，响应的方式也可以通过编排自动对接第三方工具和产品。同时也可以与第三方SIEM产品深度集成，提供更完整准确的分析。

在Forrester Wave™评分中得到5分有4家企业，分别是Okta、Palo Alto Networks、Proofpoint、Illumio。下面以Palo Alto Networks为例简单说明。

Palo Alto Networks这一块的功能主要是通过对Demisto的收购实现的。通过为SOC分析人员提供单一平台来管理事件，自动化和标准化事件响应流程以及在事件调查方面进行协作，来优化安全操作的效率。它利用机器学习（ML）来支持诸如事件分类等功能，或为SOC分析人员提供下一步建议。同时为分析人员提供了一个作战室，以便他们协作调查事件，并自动记录事件发生后的报告。Palo Alto Networks提供强大的事件/案例管理和剧本自动化功能，以及300多种现成的产品集成。

这7个维度是John Kindervag的继任者，现在Forrester 首席分析师Chase Cunningham在其零信任扩展框架中提炼出的7个支撑维度。在用户视角看，目前实现全面的零信任的改造存在复杂性和风险。但从不同用户具体的IT基础设施的实际出发，从最关切的风险出发，可以逐步落实零信任的原则和理念。

本质上，包括零信任在内的一切新的概念和总结，出发点都是为了解决网络安全和信息安全的本源问题，即应用和系统的可用性问题，数据的机密性问题。围绕可用性、机密性和完整性的原则，不断迭代新的理念和技术，为用户的业务提供更好的支撑和保障，这些零信任产品的发展也是各个厂商在某相对擅长的领域，为了更好的解决客户问题的自然演进。

所以零信任的7个维度划分也不是铁律，我们可以分解来看，一定程度上就是更细的网络边界，应用切分，数据定义，用户身份的多次验证，更细的强制访问控制，在永不信任，持续验证的理念下，如何在不影响用户体验的情况下，提供更好的安全保障和服务。

八、零信任架构的部署形式

① 基于设备代理/⽹关的部署

在基于设备代理/⽹关的部署模型中，PEP（策略执⾏点）被分为2个组件，位于资源上或在资源之前直接作为组件。⽐如，每隔企业发布的系统都安装了设备代理，每个资源都有⼀个前置的组件只⽹关直接通信，作为资源的逆向代理。⽹关份额则连接到策略管理员，并允许策略管理员批准的连接。

② 基于微边界的部署

基于微边界的部署模型是基于设备代理/⽹关的部署模型的变种。该模型中，⽆关组件可能位于系统中，也可能位于单个资源之前。⼀般来      说，这些资源是作为单个业务功能，并不直接与⽹关来通信。该模型中，企业私有云位于⽹关之后。

③ 基于资源门户的部署

在基于资源门户的部署模型中，PEP作为⼀个单独的组件作为⽤户请求的⽹关。⽹关门户可以作为单个资源也可以作为单个业务功能集合的      微边界。

④ 系统应⽤沙箱

系统应⽤沙箱部署模型也是基于代理/⽹关部署模型的变种，沙箱模型使可信应⽤在系统中隔离运⾏。这些隔离的部分可以是虚拟机、也可      以是容器和其他实现⽅式，但⽬标是⼀样的：保护系统中运⾏的主机和应⽤不受其他应⽤的影响。