安全现状

1、威胁攻击面越来越大，防不胜防

2、威胁攻击种类越来越多，疲于应付

3、终端种类越来越多，难于有效管理

4、安全防御体系错综复杂，联动协作

5、传统的安全防御体系已经无法适应 5G、云计算、物联网等发展需求

以前的网络以边界为核心，现在的网络以身份为核心

什么是零信任

零信任架构一直在快速发展和成熟，不同版本的定义基于不同的维度进行描述。在《零信任网络》一书中，埃文.吉尔曼（Evan Gilman）和道格.巴斯(Doug Barth)将零信任的定义建立在如下五个基本假定之上：

1、网络无时无刻不处于危险的环境中。

2、网络中自始至终存在外部或内部威胁。

3、网络的位置不足以决定网络的可信程度。

4、所有的设备、用户和网络流量都应当经过认证和授权。

5、安全策略必须是动态的，并基于尽可能多的数据源计算而来。

NIST对零信任及零信任架构的定义如下：

零信任（Zero trust，ZT）：提供了一系列概念和思想，旨在面对被视为受损的网络时，减少在信息系统和服务中执行准确的、权限最小的按请求访问决策时的不确定性。

零信任架构（ZTA）：是一种企业网络安全规划，它利用零信任概念，并囊括其组件关系、工作流规划与访问策略。因此，零信任企业作为零信任架

零信任逻辑架构图

NIST 《零信任架构》白皮书定义的逻辑架构图

零信任三大技术方案SIM

SDP：软件定义边界，SoftwareDefined Perimeter

IAM：增强的身份管理，EnhancedIdentity Governance

MSG：微隔离，Micro-segmentation

零信任7个基本原则

1、所有数据源和计算服务均被视为资源； # 一切皆资源

2、无论网络位置如何，所有通信都被保护；# 所有通信都应该以最安全的方式进行，保护机密性和完整性，并提供源身份验证

3、对单个企业资源的访问的授权基于每个连接授予的；# 每次访问都需要做认证

4、对资源的访问是由动态策略决定，包括客户身份、应用/服务和请求资产的可观察状态，可能还包括其他行为及环境属性；

5、企业对所有自有和相关的资产的完整性和安全态势进行监控和测量；

6、所有资源身份认证和授权是动态，并且在允许访问之前严格执行（先认证，后连接）；# 传统网络是先连接，后认证，零信任是先认证，后连接

7、企业尽可能收集有关资产、网络基础架构和通信现状的信息，并利用这些信息改善其安全态势；

零信任眼中的网络

1、整个企业私有网络不被视为一个隐式安全区；（内网不可信）

2、网络中的设备可能不归企业拥有或配置；（如：云租户）

3、没有资源是天生可信的，需启动安全评估；

4、并非所有的企业资源都在企业拥有的基础设施上；

5、远程企业主体和资产不能信任本地网络连接；

6、在企业和非企业基础设施之间移动的资产和工作流应具有一致的安全策略和态势；

零信任安全策略建议（ABCDE）

ABCDE 原则：

Assume nothing；A：不做任何假定

Believe nobody；B：不信任何人员

Check
everything all the time；C：随时检查一切

Defeat dynamic
threats/risks；D：防范动态威胁

Expect and
prepare for the worst     E：准备最坏情况

名词解释

微隔离

一种零信任实践方案，通常应用在云计算数据中心内部，要求安全监控能力下沉到用户业务虚拟机（容器）的网卡级别

南北向流量

在云计算数据中心中，处于用户业务虚拟机（容器）跟外部网络之间的流量

东西向流量

在与计算数据中心中，处于相同网络（子网）内用户业务虚拟机（容器）之间的流量，以及相同虚拟路由器不同网络（子网）内用户业务虚拟机（容器）间的流量

等保 2.0

全称网络安全等级保护 2.0 制度，是我国网络安全领域的基本国策、基本制度。等级保护标准在 1.0 时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流量的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

云原生

云计算领域内的云原生概念是一个思想的集合，包括 DevOps、持续交付、微服务、敏捷基础设施等，云原生也可以说是一系列 Cloud 技术的集合。

安全资源池

一种通过云计算虚拟化技术，把多种物理安全设备虚拟化，统一编排部署在通用服务器内的网络安全产品解决方案。能够为用户提供包含防火墙、入侵防御、防病毒、漏洞扫描、日志审计、堡垒机等多种云安全产品服务，满足用户多样化的云安全需求。

ZT          Zero Trust                     零信任

ZTA         Zero Trust Architecture        零信任架构

PDP         Policy Decision Point          策略决策点

PEP         Policy Enforcement Point       策略实施点

PE          Policy Engine                  策略引擎

PA          PolicyAdministrator            策略管理器

​SaaS        Software as a Service          软件即服务

SDP         Software DefinedPerimeter      软件定义边界

SPA         Single PacketAuthorization     单包授权

MFA         Multi-Factor Authentication    多因子认证

MSG         Microsegment                   微隔离

ID          User Identification            用户标识

IH          Initiating Hosts               连接发起主机

AH          Accepting Hosts                连接接受主机

BYOD        Bring-Your-Own-Device          用户使用自有设备

PKI         Public Key Infrastructure      公钥基础设施

LDAP        Lightweight Directory Access Protocol      轻量目录访问协议

IAM         Identify and access management             身份管理与访问控制

FIDO        Fast Identity Online                       一套轻量级身份鉴别框架协议

UEBA        User and Entity Behavior Analytics         用户和实体行为分析

IDaaS       Identity as a Service                      身份即服务

SIEM        Security Information and Event Management      安全信息和时间管理

CDM         Continuous Diagnostics and Mitigation          持续诊断和缓解

CIAM        Customer identify and access management        客户身份管理与访问控制（是 IAM 的一个分支，关注于客户身份管理）

SCIM        System for Cross-domain identify  Management   跨域身份管理协议（主要用于多租户的云应用身份管理）