什么是零信任呢?零信任打破了传统的互联网认证方式,它以网络为中心,将边界防护、信任、访问控制等防护思路结合起来的安全架构。
零信任架构具有以下特点
- 持续身份认证:零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过持续认证进行信任评估。
- 以身份为中心:零信任的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程,并进一步构筑动态访问控制体系,将安全边界延伸至身份实体。
- 动态访问控制:零信任架构下的访问控制基于持续度量的思想,是一种微观判定逻辑,通过对业务访问主体的信任度、环境的风险进行持续度量并动态判定是否授权。
- 智能身份分析:零信任架构提倡的持续认证、动态访问控制等特性会显著地增加管理开销,只有引入智能身份分析,提升管理的自动化水平,才能更好地实现零信任架构的落地。
零信任的核心原则是“从不信任、始终验证”。零信任安全模型之所以一直受到行业广泛关注,是因为在传统安全架构设计中,边界防护无法确保内部系统的安全性能。