随着信息化建设和应用不断深入，信息安全成为企业数字化发展过程中的重要课题。对于安全而言，一个绕不过去的核心概念是“信任”，没有信任，一切都无从谈起。在这样的行业共识下，零信任作为近些年来兴起的一种安全理念和思想，着力提升了信息化系统和网络安全的整体性，受到了广泛的关注。

零信任：数字化转型下的安全首选战略

在享受网络世界带来的各方面便利之时，网络世界的安全要挟也从未间断。

随着数字化的进程加剧，企业和个人越来越多地将自身最重要的数据资产存放在网络端和云端，传统网络边界被打破带来更加棘手与严峻的网络安全事件，传统网络安全防御机制逐渐“力不从心”，不受制于边界的零信任架构或可成为重要“破局者”，其“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型，能够有效帮助企业在数字化转型中解决曾经难以解决的难题。

zero trust

“零信任”，其实是Forrester分析师早在2010年便提出的一种安全概念，它的核心思想是默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。简单来说，“零信任”的策略就是不相信任何人。现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中，需要更加明确的信息才可以，不知道用户身份或者不清楚授权途径的请求一律拒绝。

虽然零信任安全已经提出许久，但实际上直到这两年，它才在国内网络安全领域兴起。这反映出网络安全的发展变化：随着企业业务上云、数字化转型落地等技术变革，新的网络安全场景层出不穷：受疫情影响而规模化的远程办公协作，让传统基于边界的安全防护体系和网络架构在应对远程办公风险的问题上开始逐渐失效；视频会议软件涉及的会议内容、摄像头、长途桌面等隐私问题开始暴露……

越来越多的应用分散部署在不同公有云、私有云及本地 IDC，在网络边界暴露业务端口，增加了数据暴露面，被攻击风险大幅上升。同时，企业还要应对黑客侵入内部网络的风险，甚至要对企业“合法用户”的不可信“行为”进行防范。

在这种情况下，传统基于“边界”构建的防护体系显得有些无力。这种“默认边界以内，人、设备、系统与网络环境均可信”的方式，在过去还相对可行，但现在伴随着业务场景的多样性，情况变得非常复杂且难以应对：如果是具有正当凭据以及权限的用户进入系统，这些外围防护系统就会自动放过，而系统内部则隐含着对他们的信赖联系，也就很难阻止这些用户的不良行为。显然，这种仅仅依靠网络位置来建立信任关系的传统防御机制，在如今的网络充斥的内外部环境中，早已行不通了。

为应对传统边界防护面临的风险及挑战，“永不可信，始终验证”的零信任理念开始盛行。在零信任安全框架下，组织不应自动信任其边界之内或之外的任何人和物，必须在授予访问权限之前验证试图连接到各种系统的所有人和物。这从根本上打破了基于边界的传统安全防御模型，能够有效帮助企业在数字化转型中解决曾经难以解决的难题。

同时，零信任拥有风险持续预测、动态授权、最小化原则，契合数字基建新技术特点，借助云、网络、安全、AI、大数据的技术发展，着力提升了信息化系统和网络的整体安全性，成为网络安全保障体系升级的中流砥柱，推动了零信任安全架构时代的到来。

据有关调研显示，实施零信任战略的必要性和重要性是网络安全领导者的首要考虑，被调研的CSO普遍认为零信任是最有效的安全实践之一，承认零信任对降低其组织的网络风险非常重要。可以说，零信任构建的新型网络安全架构，被认为是数字时代下提升信息化系统和网络整体安全性的有效方式，成为企业数字化转型下的安全首选战略。

“持续验证 永不信任”的零信任安全时代已经到来！