網絡安全行業中經常提起零信任，零信任是什么呢？

　　零信任安全架構從本質可概括為以身份為基石的動態訪問控制，是在不可信的現代網絡環境下，通過動態訪問控制技術，以細粒度的應用、接口、數據為核心保護對象，遵循最小權限原則，構筑端到端的邏輯身份邊界。

　　然而，對各類IT專業從業人員來說，零信任的意義也許是不相同的。零信任可能代表著最終的安全狀態，也可能指提升安全能力所需的指導原則或框架。我們如何在不同理解的情況下運用零信任保障企業安全呢？

　　網絡層面的安全

　　傳統邊界防御架構關注防護能力的構建，對網絡攻擊進行識別、檢測、防護和閉環響應。邊界安全模型區分內網和外網，通常被比作中世紀的城堡：有著厚厚的圍墻，被護城河環繞，守衛森嚴，僅有單個入口和出口。任何墻外的東西都被認為是危險的，任何墻內的東西都是安全可信的。

　　然而，如今網絡環境越來越復雜，業務頻繁多樣，數據流動加快，攻擊和破壞不再僅發生于網絡層面了，其他IT棧堆組件也可能成為發起攻擊造成破壞的載體。

　　應用層面的安全

　　我們以未經授權訪問下最主要攻擊向量企業應用舉例，通常用戶只要通過網絡身份驗證后，就可以直接訪問應用。但是，如今企業應用會收到層出不窮的攻擊侵害，僅憑驗證用戶身份是不能夠全面防護威脅的。

　　簡言之，即使企業已經針對網絡層面實施安全防護，也并不意味著企業應用受到了適當的保護。

　　若要在應用層面實施零信任，則需要重新考慮每個應用的訪問方式、交互通信方式、數據共享以及用戶身份認證等多個因素。這時，安全實施者不再是從代碼漏洞的角度審視應用本身，而是應該去了解應用該擁有或者說可以接受的行為。

　　理想情況下，應用也該被分配基于行為的安全身份以確定權限。

　　在應用層面實施零信任

　　在應用層面實施零信任意味著需要分析每個應用的行為，用來驗證某個應用執行的功能屬于是適當的并且與數據文件的交互也符合權限。在分析的同時，可以為建立應用的行為參數庫，對其建立安全標識。

　　實施應用層面的零信任，可以參考以下步驟：

　　發現并歸類所有企業應用程序；

　　觀察、監控應用行為，建立預期、授權活動的基線；

　　消除在行為分析過程中發現的任何安全風險（即不必要的權限、過大的權限、風險依存關系等）；

　　創建針對應用活動的強制安全策略，僅允許授權行為；

　　違反策略時將警報推送至控制點，以便觸發糾正措施來補救威脅。

　　在這種情況下，每個應用都有信任范圍，并且權限只能限制在正常運行所需的權限。任何類型的攻擊都屬于正常行為范圍之外，能夠觸發警報或關閉應用會話，有效阻止任何未經授權的活動或受限訪問資源。

　　網絡安全從業人員保護的不僅是網絡，還要保護數據、身份、應用等。將零信任應用于應用層面，以身份為基石，基于行為持續評估信任，動態地調整策略，確保員工能安全地開展業務。這樣，減少了攻擊面，網絡安全團隊能實現更全面地保護，企業避免遭受安全風險。