零信任安全是基于隱式信任始終是一個漏洞這一信念而創建的概念，因此必須按照“從不信任，始終驗證”的策略來設計安全性。在最簡單的形式中，零信任使用嚴格執行的身份和設備驗證流程來限制對 IT 資源的訪問。

零信任身份 (ZTI) 和零信任訪問 (ZTA) 均確保默認情況下不信任任何設備或用戶，無論位置和類型如何，零信任網絡訪問 ( ZTNA ) 將經過驗證的用戶和設備限制在特定網段，而不是授予全網訪問權限。

什么是零信任，它是如何工作的？

零信任強制對用戶和設備使用嚴格的安全控制，然后才能訪問受保護的資源。零信任身份認證和授權使用最小特權 (PoLP) 原則，該原則授予給定功能所需的絕對最低權限 - 在傳輸單個數據包之前。

由于訪問網絡資源的方式發生了變化，這已成為必要。網絡邊界或僅 VPN 訪問的日子已經一去不復返了；今天越來越多的移動勞動力和在家工作的增長要求為用戶考慮新的安全方法，而容器和微服務計算的日益分散的性質意味著設備到設備的連接也在增加。

因此，零信任需要相互身份驗證來確認設備的身份和完整性，而不考慮位置，以便根據設備身份、設備健康和用戶身份驗證的置信度來授予訪問權限。

零信任的好處

零信任網絡架構解決了隨著網絡拓撲和使用變化而演變的兩個弱點。傳統上，網絡安全是由在企業網絡“內部”和“外部”之間有明確分界點的邊界定義的。這種方法通常授予網絡外圍“內部”的用戶和設備廣泛的訪問權限，以便一個網段上的設備可以看到公司網絡外圍內的所有其他網段。

今天，計算設備和訪問大量分布在云、移動、邊緣和物聯網中，這些組件模糊了分界點，從而使防御邊界變得越來越困難。由于 ZTNA 假定網絡邊界內外的所有內容均不可信，因此每次訪問都會對每個事務和連接進行身份驗證。一旦通過身份驗證，ZTNA 就會創建一個訪問極其有限的微分段網絡。零信任身份不是基于 IP 地址，而是基于邏輯屬性，例如虛擬機名稱。

零信任用例

零信任有許多用例，包括限制外部第三方（如供應商和承包商）的訪問、隔離物聯網設備以及為日益移動的勞動力提供安全的遠程連接。

對供應商和承包商的零信任。

由“受信任的”第三方造成的許多值得注意的安全漏洞，例如臭名昭??著的 Target 漏洞。提供對外部組織的廣泛訪問可能是災難性的。零信任通過兩種方式解決了這個問題，首先是使用多因素身份驗證或其他身份和訪問管理 (IAM) 平臺進行嚴格的身份驗證，該平臺允許為每個外部方分配一個權限類別，定義他們在網絡中的訪問權限。此外，分段可以限制對與第三方執行任務或交易所需的網絡部分的訪問。

零信任和物聯網。

物聯網設備的增長繼續升級，預計到 2023 年將有近 150 億臺物聯網設備。它們無處不在（而且通常是有限的安全能力）要求在考慮物聯網訪問網絡資源時采取零信任的方法。例如，物聯網設備可以被隔離到一個專門為此目的而設計的網段，從而限制受感染的物聯網設備的訪問和橫向傳播到其他更敏感的網絡資產。

遠程工作者的零信任。

隨著越來越多的員工在傳統網絡邊界之外工作，無論是由于公司政策還是疫情，ZTNA 提供安全的員工訪問權限并通過確保所有員工（無論是在星巴克使用 VPN 還是公共 Wi-Fi 工作）安全地連接到公司數據來限制攻擊面，他們完成工作所需的服務和資源。

零信任模型的核心原則

零信任的主要原則是“從不信任，始終驗證”。任何設備或用戶都不可信任，無論其位置、IP 地址或網絡訪問方式如何。無論來源位于何處，網絡上的每次交互都需要進行驗證。此外，網絡訪問應限制在盡可能小的部分以實現預期目標，因為大多數網絡由互連區域組成，包括本地基礎設施、云、遠程和移動用戶。

對于 VMware，零信任安全意味著構建一個現代安全架構，該架構旨在更加健壯和動態，并在更深入、更全面的基礎上建立信任。為了實現這種更全面的零信任方法，VMware 提供了零信任架構的 5 個支柱。

零信任的主要原則是“從不信任，始終驗證”。任何設備或用戶都不可信任，無論其位置、IP 地址或網絡訪問方式如何。無論來源位于何處，網絡上的每次交互都需要進行驗證。此外，網絡訪問應限制在盡可能小的部分以實現預期目標，因為大多數網絡由互連區域組成，包括本地基礎設施、云、遠程和移動用戶。

對于 VMware，零信任安全意味著構建一個現代安全架構，該架構旨在更加健壯和動態，并在更深入、更全面的基礎上建立信任。為了實現這種更全面的零信任方法，VMware 提供了零信任架構的 5 個支柱。

1. 設備信任

通過實施設備管理、設備清單、設備合規性和設備身份驗證等解決方案，組織可以極大地限制未經授權的用戶獲得設備訪問權限并將該訪問權限用于惡意目的的風險。

2. 用戶信任

用戶信任包括密碼身份驗證、多因素身份驗證、條件訪問和動態評分，所有這些都旨在“證明”該用戶實際上是經過授權和驗證的用戶。

3. 傳輸/會話信任

傳輸/會話參數通過限制用戶的訪問權限并應用執行給定工作所需的最低權限來建立對資源的最小權限訪問原則。

4. 應用信任

使用單點登錄 (SSO)、隔離和任何設備訪問等工具可以增強應用程序信任參數。

5. 數據信任

數據信任是 VMware 零信任模型的最后支柱。數據信任策略包括通過加密或不變性保護靜態數據、數據完整性（經常檢查數據完整性）、DLP（數據丟失預防）和數據分類。零信任的這五個支柱中的每一個都由可見性和分析以及自動化和編排的架構層支持。

• 分析和自動化

這五個零信任支柱共同提供了一種適用于分析和自動化的綜合安全方法。通過在這五個支柱方法之上分層分析和自動化解決方案，組織可以獲得有關其組織安全狀況的深刻數據。

日志位置、維護所有日志的中央存儲庫、用于監控的儀表板和用于故障排除的中央控制臺，所有這些都可以從符合零信任五個支柱的解決方案中提取真正的分析和自動化。

• 自動化和編排

制定強有力的零信任政策需要更多的流程和政策來實現這個更安全的環境。通過將手動冗余流程轉變為自動化和協調的方法，自動化和編排使這個過程更容易實現。

在這里，諸如在設備上維護合規引擎、用于與外部程序集成的 API 以及用于自動修復的上下文工作流等策略都可以實現更自動化和更安全的零信任方法。

實施零信任架構的最佳實踐

多種工具和技術有助于實現零信任的最佳實踐。以下是對成功最關鍵的候選名單：

• 什么都不相信，驗證一切。

假設所有設備都受到威脅，并且永遠不要信任任何未經驗證的設備。ZTI 工具通過將身份控制推送到端點來協助端點安全，以幫助確保在授予對公司資源的訪問權之前首先注冊設備。設備注冊還簡化了識別和驗證每個被授予訪問權限的設備，并確保設備滿足 ZTNA 安全要求。

• 采用網絡微分段

零信任網絡架構一次僅授予對網絡的一小部分的訪問權限，并且僅授予確認他們有權訪問每個網段的用戶。用戶和設備身份驗證在微分段級別執行。與每個微細分市場的連接基于需要知道的模型。不傳輸 DNS 信息、內部 IP 地址，甚至內部網絡基礎設施的可見端口。

要訪問任何單獨的段，用戶必須通過嚴格的身份和設備驗證程序。在可以建立通信會話之前，必須對每個會話進行身份驗證、授權和計費 (AAA)。

為了實現零信任身份，網絡身份應基于邏輯屬性，例如多因素身份驗證 (MFA)、傳輸層安全 (TLS) 證書、應用程序服務或邏輯標簽/標簽的使用。

• 基于最小權限原則 (PoLP)

限制訪問 PoLP 將權限和訪問限制為執行特定任務所需的絕對最小值。如果用戶只需要讀取權限，則不要授予讀取或執行權限。PoLP 同樣適用于用戶和設備，因此物聯網設備、連接的應用程序和微服務只應被授予完成交易所需的最低權限級別。

• 部署多因素身份驗證 (MFA)

MFA 已在消費者銀行和金融網站中流行起來，作為零信任環境的一部分，MFA 也非常有意義。通常，MFA 要求用戶至少提供兩件事，包括：

• 已知的東西。用戶記住的密碼、PIN 或短語等秘密
• 擁有的東西。用戶擁有的對象或令牌（例如智能手機或智能卡）可以生成或顯示一次性使用代碼，并與已知的東西一起提供。
• 人類的東西。生物特征信息可以包括指紋、面部掃描或視網膜掃描

僅在兩個（或更多）因素驗證用戶合法之后才會進行身份驗證。

維護零信任網絡

要維護零信任網絡，IT 必須：

• 清楚了解所有有權訪問網絡的用戶和設備，以及他們完成工作所需的訪問權限。
• 確保網絡安全策略保持最新，并定期測試策略的有效性，以確保沒有漏洞被忽視。
• 繼續合規監控，包括持續監控網絡流量以發現異常或可疑行為。
• 在流量級別以及流程和數據上下文級別具有可見性，以更好地映射正常流量以更好地針對不規則通信模式。

借助 VMware 服務定義防火墻，企業可以從單一管理平臺獲得深入的可見性和全面的策略控制。為了全面實施零信任網絡架構，VMware 提供了 VMware 服務定義防火墻，這是一種基于 VMware NSX 構建的分布式橫向擴展內部防火墻，用于保護跨多云環境的東西向流量。