文章目录
一、零信任概述
零信任思想的起源可以追溯到1994年由JerichoForum提出的 “去边界化”网络安全概念。而“零信任”这个词汇则是由Forrester原首席分析师John Kindervag于2010年首次提出的。零信任思想摒弃了“信任但验证”的传统方法,将“从不信任、始终验证(Never trust, always verify)”作为其指导方针。
图2:零信任发展大事记
图2:零信任标准的推进
零信任正在快速的发展中,越来越多的组织都在拥抱零信任。其中美国国防部DoD全面启动零信任战略并且发布了《DoD零信任参考架构》。《DoD零信任参考架构》分别从全景视角(AV)、作战视角(OV)、能力视角(CV)和标准视角(StdV)对零信任架构进行了描述。
图3:《DoD零信任参考架构》
目前国内零信任的目标客户主要集中在政府及事业单位、金融、制造业、运营商、互联网、能源、电力和医疗行业。
图5:零信任应用行业分布图
二、零信任成熟度模型
2021年9月7日,美国网络安全与基础设施安全局(CISA)发布《零信任成熟度模型》草案。成熟度模型的推出给企业、组织、机构在零信任实践上提供了参考,有助于通过零信任加固设施,通过该模型可以评价当前的零信任能力和水平,同时作为零信任能力提升的参考。
成熟度模型包括五个支柱和三个跨领域能力,以零信任为基础。
图6 零信任成熟度模型的示例
三、零信任的驱动因素
1、合规驱动
近年来,数据安全形势日益严