现代零信任的定义

零信任的广泛主题是减少隐性信任。作为信息安全模型，零信任转化为网络和安全架构。

在2022 年初，零信任面临一个奇怪的二分法：它即将成为事实上的网络安全方法，同时让许多安全从业者谴责它“只是一种营销策略”。作为安全社区，我们是如何走到如此危险的境地的？ 

根据前Forrester 分析师和原零信任研究的作者John Kindervag 的说法，部分问题在于零信任论文三部曲在很大程度上仍然落后于Forrester 付费墙。十多年来，只有Forrester 客户和全球所有安全供应商可以访问。炒作列车离开了车站，这些供应商从他们高度主观的角度塑造了零信任的叙述。非客户和更大的网络安全社区只能通过供应商营销的彩色玻璃窗看到零信任。 

Forrester 的研究通过引入零信任扩展(ZTX) 将零信任概念从以网络为中心推进到集成的、动态的安全功能和技术生态系统。但分析师不一定是营销人员，这项研究缺乏一个清晰、简洁、可共享的定义。 

今天，我们通过发布题为“现代零信任的定义”的报告来纠正这两个问题。嗯，是的，该报告在付费墙后面，但我们在这里为每个人提供了它的定义，在外面。 

零信任定义 

零信任是一种信息安全模型，默认情况下拒绝访问应用程序和数据。威胁预防是通过仅授予对网络和工作负载的访问权限来实现的，该策略利用通过跨用户及其关联设备的持续、上下文、基于风险的验证所获知的策略。零信任提倡这三个核心原则：所有实体默认不受信任，强制执行最小权限访问，并实施全面的安全监控。 

请注意，最后一句话是三个原始的零信任原则一起说明。

以下是项目符号形式的要点： 

·       默认拒绝 

·       仅按政策访问 

·       适用于数据、工作负载、用户、设备 

·       最小权限访问 

·       安全监控 

·       基于风险的验证 

对每个人来说，好消息是这个定义与NIST 在SP 800-207 中的定义没有分歧。这两个定义解释了相同的概念，使用相同的原则和通常相同的词。 

那么零信任架构或零信任策略呢？ 

零信任的广泛主题是减少隐性信任。作为信息安全模型，零信任转化为网络和安全架构。请参阅NIST SP 800-207，零信任架构，作为最相关的示例。 

一些零信任的倡导者说，它也应该是一种行之有效的策略。考虑在您的脑海中将“零信任策略”替换为“减少整个企业内隐信任的策略”。 

那么，什么不是零信任？ 

为了更好地帮助安全领导者和专业人士宣传采用零信任的好处，我们的报告更清楚地说明了零信任不是什么。一个关键点是它不是一种安全意识和培训策略。事实上，组织中的绝大多数最终用户根本不需要熟悉这个概念。从意识和培训的角度来看，将零信任概念推向最终用户可能会适得其反，因为“零信任”的看法意味着对员工缺乏信任。采用零信任模式的组织将信任视为为员工创造积极、低摩擦的工作文化的基础，并投资于各种举措，以使各级公司能够通过信任实现差异化。 

零信任是一种信息安全模型，不断朝着但没有最终状态的方向努力。故，零信任是一个发展状态的安全模型，不是固化刻板的模型，所以一方面最终会形成共识，一方面没有人是唯一正确的。

原文始发于微信公众号（河南等级保护测评）：现代零信任的定义