首頁(yè) 産(chǎn)品中(zhōng)心 > 零信任

什麽是零信任？

零信任的概念最早是在2010年由當時的Forrester分(fēn)析師John Kindervag提出。零信任承認了在分(fēn)布式網絡環境下傳統邊界安(ān)全架構的不足，認為(wèi)主機無論處于網絡什麽位置，都應當被視為(wèi)互聯網主機，它們所在的網絡，無論是互聯網還是内部網絡，都必須被視為(wèi)充滿威脅的危險網絡。零信任的核心思想是：默認情況下，企業内外部的任何人、事、物(wù)均不可(kě)信，應在授權前對任何試圖接入網絡和訪問網絡資源的人、事、物(wù)進行驗證。

免費測試

什麽是零信任

零信任的概念最早是在2010年由當時的Forrester分(fēn)析師John Kindervag提出。零信任承認了在分(fēn)布式網絡環境下傳統邊界安(ān)全架構的不足，認為(wèi)主機無論處于網絡什麽位置，都應當被視為(wèi)互聯網主機，它們所在的網絡，無論是互聯網還是内部網絡，都必須被視為(wèi)充滿威脅的危險網絡。

零信任的核心思想是：默認情況下，企業内外部的任何人、事、物(wù)均不可(kě)信，應在授權前對任何試圖接入網絡和訪問網絡資源的人、事、物(wù)進行驗證。

零信任網絡的核心原則包含以下五個方面：

身份是訪問控制的基礎

信任來自于端到端所有(yǒu)對象的身份，基于身份而非網絡位置構建訪問控制。

最小(xiǎo)權限原則

資源可(kě)見和訪問按需分(fēn)配，僅授予執行任務(wù)所需的最小(xiǎo)特權。

實時計算訪問控制策略

根據主客體(tǐ)信任評估和訪問需求進行策略計算，并持續評估以保證策略實時變更。

資源受控安(ān)全訪問

所有(yǒu)業務(wù)場景下全部資源基于單個訪問請求連接，進行強制身份識别和授權、鑒權和通道加密。

基于多(duō)源數據進行信任等級持續評估

包括身份、訪問上下文(wén)等的實時多(duō)源數據的多(duō)樣性和可(kě)靠性，提升信任評估策略計算能(néng)力。

零信任主張安(ān)全體(tǐ)系架構從網絡中(zhōng)心化轉變為(wèi)身份中(zhōng)心化，所有(yǒu)的訪問行為(wèi)都需要以身份為(wèi)中(zhōng)心進行細粒度的自适應訪問控制。

企業不應該默認信任網絡内部或外部的任何人、設備、系統和應用(yòng)，而是應該基于認證和授權重構訪問控制的信任基礎，并且基于盡可(kě)能(néng)多(duō)的數據源對訪問者進行持續的可(kě)信度評估，根據評估結果動态地調整授權和訪問控制策略。

零信任架構的支撐系統稱為(wèi)控制平面，其他(tā)部分(fēn)稱為(wèi)數據平面，數據平面包含所有(yǒu)應用(yòng)程序、防火牆、代理(lǐ)服務(wù)器、路由器，以及它們直接處理(lǐ)網絡上的所有(yǒu)流量，數據平面由控制平面指揮和配置。

訪問受保護資源的請求首選經過控制平面處理(lǐ)，包括設備、用(yòng)戶的身份認證和授權，細粒度的訪問控制策略也在這一層進行，控制平面可(kě)以基于組織中(zhōng)的角色、時間或者設備類型進行授權。

一旦控制平面完成檢查，确定該請求具(jù)備合法的授權，它就會動态配置數據平面，接收來自該客戶端(且僅限該客戶端)的訪問流量。

此外，控制平面還能(néng)夠為(wèi)訪問請求者和被訪問資源協調加密訪問的具(jù)體(tǐ)參數，包括一次性臨時憑證、秘鑰和臨時端口号等。

信域與零信任的關系

信域安(ān)全雲網遵循零信任安(ān)全原則設計，是零信任網絡的一種簡單、快速的實現方案。

繹雲認為(wèi)，企業落地零信任的本質(zhì)就是從傳統邊界型IP網絡升級為(wèi)分(fēn)布式ID網絡（身份網絡），無論是網絡訪問控制還是基于網絡的行為(wèi)分(fēn)析，都不再依賴IP地址，而是始終聚焦身份。

零信任實際就是對IP地址不再信任，在一個快速變化、全球分(fēn)布的網絡中(zhōng)，IP地址本身既無法代表個人也沒有(yǒu)安(ān)全狀态的内涵，以IP地址為(wèi)要素進行訪問控制或行為(wèi)研判已經沒有(yǒu)任何意義，因此要把訪問控制的核心要素從IP地址轉變為(wèi)實體(tǐ)身份。

零信任的核心變革就是讓企業網從IP網絡升級到ID網絡。

信域安(ān)全雲網的點對點雲化網格架構、網絡數據包的身份化、基于身份的分(fēn)布式訪問控制引擎等特性為(wèi)企業提供了一個天然的零信任網絡環境，讓企業落地零信任變得更加容易。

信域安(ān)全雲網實現零信任網絡的核心原則的方法如下：

原則1：身份是訪問控制的基礎

傳統邊界網絡模型裏，網絡訪問控制基于IP地址設計和執行。但在分(fēn)布式企業裏，網絡變得越來越碎片化，員工(gōng)可(kě)能(néng)從任意位置接入并訪問業務(wù)資源。網絡IP地址隻能(néng)代表網絡位置，并不能(néng)代表人或者終端，在分(fēn)布式網絡裏繼續使用(yòng)傳統邊界網絡模型必然會讓安(ān)全策略越來越偏離對人或者終端的控制，帶來大量的隐含信任漏洞以及安(ān)全運維工(gōng)作(zuò)量。

大多(duō)企業都已具(jù)備統一身份管理(lǐ)系統，無論是使用(yòng)AD/LDAP、釘釘或者企業微信等，企業的每一個員工(gōng)都具(jù)備唯一的數字身份。在企業落地零信任并非是要再重新(xīn)建立一套新(xīn)的身份體(tǐ)系，而是要将企業已有(yǒu)的統一身份應用(yòng)到網絡訪問控制上。

信域安(ān)全雲網将企業的統一身份植入到每一個網絡數據包裏，從網絡底層實現了身份化，同時采用(yòng)基于身份的分(fēn)布式訪問控制引擎，不再依賴IP地址，而是基于企業的統一身份進行全網的網絡訪問控制。

原則2：最小(xiǎo)權限原則

信域安(ān)全雲網将企業業務(wù)資源都隐藏在業務(wù)局域網中(zhōng)，對外不開放任何IP地址和端口，避免了來自不可(kě)信網絡的直接訪問。所有(yǒu)業務(wù)訪問需要經過信域網關代理(lǐ)轉發，信域網關隻接受來自信域客戶端發過來的UDP網絡數據包，不主動對任何數據包進行回應，對每一個數據包進行身份校驗，如果校驗失敗則立即丢棄。

授權策略基于帳号、終端、客戶端應用(yòng)程序、業務(wù)資源、服務(wù)端口、應用(yòng)層URI或指令集設計，并根據對用(yòng)戶、終端的可(kě)信研判結果，動态的調整細粒度控制策略，實現持續地最小(xiǎo)授權。

原則3：實時計算訪問控制策略

信域的細粒度訪問控制策略通過計算生成，管理(lǐ)員通過業務(wù)語言基于帳号、終端、業務(wù)的屬性集中(zhōng)地配置授權策略，信域根據企業随時變化的帳号、終端和業務(wù)現狀，實時地生成細粒度的訪問控制策略，并将細粒度訪問控制策略同步到每一個信域客戶端和信域網關上分(fēn)布式執行。

信域智能(néng)分(fēn)析平台，利用(yòng)終端環境數據、用(yòng)戶業務(wù)訪問的行為(wèi)數據，實時地對終端用(yòng)戶進行可(kě)信分(fēn)析，根據可(kě)信分(fēn)析結果實時地調整細粒度訪問控制策略。

原則4：資源受控安(ān)全訪問

信域采用(yòng)分(fēn)布式訪問控制引擎，細粒度的訪問控制策略在信域客戶端與信域網關上同時執行，對每一個訪問數據包進行認證和鑒權，執行逐包加密，逐包認證的強制管控策略。

如果用(yòng)戶或者終端無權訪問業務(wù)資源，則終端無法發出訪問此業務(wù)資源的任何數據包，網關也不對來自此終端的業務(wù)訪問數據包進行解密和轉發；如果終端用(yòng)戶有(yǒu)權訪問，則信域客戶端将帳号和終端的身份信息植入到數據包裏，加密後發送到對端信域網關，網關在收到數據包後對數據包進行身份校驗、解密和轉發。

原則5：基于多(duō)源數據進行信任等級持續評估

信域智能(néng)分(fēn)析平台采集全網身份化的網絡流量數據與終端環境數據，并利用(yòng)AI技(jì )術對訪問主客體(tǐ)進行安(ān)全建模，對人和終端進行可(kě)信分(fēn)析，對業務(wù)訪問行為(wèi)和敏感數據訪問行為(wèi)進行威脅研判，并根據檢測和分(fēn)析結果動态調整訪問權限，實時處置異常或惡意的帳号和終端。