1.什么是零信任？

解答上面问题前，先了解下零信任。这个概念想必大家都耳熟能详。简单说，零信任就是“永不信任，始终验证”。

也就是说，不能以网络边界作为信任的前提，任何情况下组织都不应该自动信任任何事物，必须首先验证试图连接到组织系统的任何人和所有事物，并且具备合法的理由。

这个过程不是一次验证，而是在访问过程中，持续不断地去判断和验证。相较于传统“城堡/护城河”式的网络安全防护方法，零信任模型并不严格区分保卫界限，或者说它的保卫界限从传统的网络入口收缩到每一个资源和服务的对外入口，可以说处处是边界。

尤其是随着企业数字化转型发展，混合远程工作、物联网、API 和应用程序的快速增长，交互的场景网状化，网络边界的概念已渐渐消失。暴露面在不断扩大增加，传统基于边界防护的效果越来越差。换句话说，你无法保护不再存在的东西！

相反，若采取零信任防护模型，就可以确保只有正确的身份才能访问正确的数据，并且仅在需要时访问。因此，建立以身份优先的零信任架构，可为可信的人类和非人类的主体安全可靠的访问客体资源。

我认为零信任的本质就是把主体和客体隔离开，永远不允许主体用户直接接触客体资源，利用各种各样的技术，如代理技术、网关技术、隧道技术等。这样我们就有了控制抓手，控制“谁”可以访问“谁”，并且充分利用最小权限原则和持续动态的原则。

2.零信任三大核心组件

2019年，美国国家标准委员会NIST对外正式发布了《零信任架构》（《NIST.SP.800-207-draft-Zero Trust Architecture》），强调了零信任是一组不断发展的网络安全范例的术语。

在国内引进零信任概念后，建立了以“SIM”为核心的零信任解决方案，即SDP（软件定义边界），IAM（增强身份管理），MSG（微隔离）。

其中，SDP 旨在使应用程序所有者能够在需要时部署安全边界，以便将资源与不安全的网络隔离开来。SDP通过隐藏应用程序和资源，将网络资源从公共网络隔离，只允许经过身份验证的用户会话通过安全网络隧道连接到所需资源，从而帮助保护应用程序和数据资产免受网络攻击和未经授权的访问。

IAM，传统的基于身份的访问控制管理技术，从账号、认证、授权、审计维度对主体访问客体的行为进行静态的访问控制管理。而零信任架构中的IAM是一种增强的IAM。

Gartner对其管控范围进行了重新定义，要求从管理、保证、授权、分析维度对身份的整个生命周期进行管理，包括用户身份的注册、创建、转移及在各个应用系统中的权限控制；更加强调动态的访问控制能力，甚至采用更加先进的AI技术分析用户访问行为，从而更能适应不断变化的风险威胁。

微隔离是一种能够适应虚拟化部署环境，识别和管理数据中心内部流量的一种隔离技术，其核心是对全部东西向流量的可视化识别与访问控制。

它是一种区别于传统防火墙的安全域隔离的技术，通过访问控制策略和加密能力，对数据中心的工作负载、应用、服务进行更加细粒度的访问控制，旨在收缩暴露面，并阻止病毒或风险的横向移动，减少风险爆炸半径。

3.IAM是核心

那为什么说IAM是三大组件中的核心呢？IAM是数字世界与现实世界融合的交界点，无论是SDP还是微隔离本身就是一种可以使用的资源，在被使用或操作时首先需要进行身份鉴别和控制。

例如，SDP作为主体接入零信任网络的入口点，本身就需要借助IAM的身份鉴别能力，来确认人、应用、客户端设备等身份，还需要借助IAM的风险识别模块对主体的安全性进行分析，只有确认主体的身份和安全性后才能让其接人零信任网络。

其次，增强IAM，它不仅有传统4A的能力，还有持续动态认证的能力，包括能够对用户访问的所有会话进行用户行为的风险分析，以对风险进行评估并能实时阻止风险访问。当用户访问后端资源时，需要做到身份鉴别，风险鉴别，以及权限鉴别，进行身份优先的全链路的安全防控。

最后，MSG，Gartner直接将MSG改为身份定义微隔离（Identity-Based segmentation），注重用身份来鉴别服务与服务之间的访问，以做到更加细粒度的访问控制能力。我们在服务之间无人参与的过程，更加需要为应用或服务定义身份和权限，因此微隔离的解决方案也对IAM有很高的依赖。

回到企业现实业务场景，现代企业IT环境双态化（敏态和稳态）。传统的网络界限也在上云、数字化等过程中逐步消失。现代企业的IT业务场景应该允许在任何设备上的任何地方和任意时间工作，并可以安全的访问任何数字化生态系统中的工具、系统和数据，以满足数字化平台真正的生态化。

与此同时，企业安全威胁的严重性和复杂性继续增加。这些都促使企业组织亟需一套整体的安全解决方案，以身份为优先的一体化零信任解决方案也因此越来越受到企业CIO的认可。

零信任方案将安全能力从传统网络安全边界扩展到主体、行为、客体资源，从而构建“主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的动态综合纵深安全防御能力。

而IAM恰好能解决其中的核心问题。我们都知道人和设备无处不在，这不应该成为获取服务的障碍。我们的首要任务是需要确保设备是安全的和可信的，当你让它们访问这些服务时，需要对人、设备进行安全控制。

这个过程中，最好的保障方式之一就是赋予身份，并进行身份和访问控制管理。从而，确保正确的访问主体在正确的设备、时间、地点和正确授权下访问正确的数据、资产，并全程审计留痕。

所以，无论是从零信任的技术核心来看，还是回到企业实际的安全现状与背景，IAM都是企业实施零信任解决方案的重中之重。这也是为什么业界称零信任安全的本质是以身份为中心进行动态访问控制。

4.企业零信任落地建议

最后，不得不说企业在实施落地零信任解决方案时，最好的切入点就是IAM。当然，当下中国真正成功落地零信任的企业并不多。因为实施零信任技术，并没有单一的解决方案。它需要结合业务场景分步骤、分阶段、分场景，并配合技术的完善不断去重组和优化。

国内很多提供零信任解决方案的厂商，都有强大的网络安全工具或网络安全攻防的基因，如擅长VPN、防火墙、准入、MDM、SOC等，把零信任解决方案作为一个技术工具方案进行推广，导致零信任解决方案落地效果不佳。

我们则认为零信任解决方案和IAM解决方案一样天然的是一个综合业务解决方案，需要强依赖企业业务实际情况进行定制化方案设计，只有更贴近业务端才能更好、更快地在企业组织中推行零信任解决方案。

事实上，有效的零信任策略组合利用了多种现有技术和方法，例如多重身份验证 (MFA)、身份和访问管理 (IAM)、特权访问管理 (PAM) 、API安全网关、细粒度权限管理（ABAC）、用户行为风险分析（UEBA）等，以进行全链路的深度安全防御。

此外，零信任还强调诸如最小权限原则之类的治理策略，建立符合零信任理念的现代化安全架构。它的建设不是一蹴而就的，企业组织需要坚持零信任理念的指导原则，随着时间的推移采用分阶段、分步骤的系统化建设方法。

尽管，我推荐企业在实际落地零信任解决方案采取整体设计理论。但实际上，很多企业常常把IAM和零信任进行独立立项。

在此，我建议这类企业可以按照业务和技术对两种方案建设范围进行区分：更贴近硬件、系统、网络的，与业务无关的技术能力划归零信任方案；更贴近人、组织、业务系统和流程的，划归IAM方案。

但无论如何，IAM都是企业实施零信任最好的切入点，也是其核心。无论是从IAM的技术成熟度，还是企业目前的数字安全现状。随着企业数字化系统的快速增长，对应用户、设备等身份与日俱增，由此给企业带来了更多潜在的身份安全威胁。

企业可以借助零信任建设，建立统一的身份管理平台，让企业的决策者收回企业组织内的身份控制权，为企业数字化转型迭代提供抓手和检验手段。

若企业还像过去一样使用多种工具来管理整个企业的身份，将导致可见性差，管理也会变得越孤立和分散。结果将会恶性循环，从而影响企业运营效率并产生诸多漏洞，使企业面临更糟糕的安全威胁。

因此，企业不妨试着从IAM着手，一步步完善落地企业零信任。无论是从快速看到成效，还是最终结果来看，它都是企业组织在构建现代安全防护的不二选择！