零信任的主要思想：默认企业内、外部的任何人、事均不可信，对任何试图接入网络或访问网络资源的人、事、物进行持续验证，打破了边界化的网络防御思路，是一种更适应新需求的理念。

 

零信任的兴起不能简单看做某种技术、产品的扩展，而是对固有安全思路改变。在产业端，随着谷歌等公司在零信任上的进展，2019-2020 年，NIST 在 5 个月内连续发布两版《零信任架构》标准草案，意味着零信任正向标准化进展。

 

零信任技术

从技术视角划分，零信任的主流技术分为三种：即 SIM：S 为 SDP（Software Defined Perimeter, 软件定义边界）、I 为 IAM（Identity and Access Management，身份识别与访问管理系统），M 为 MSG（Micro-Segmentation，微隔离）。

 

软件定义边界（SDP）是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。

之所以被称为黑云，和其预期达到的效果有关。SDP 可以为企业建立虚拟边界，利用基于身份的访问控制和权限认证机制，让企业应用和服务“隐身”。当黑客试图进行攻击时，会发现看不到目标而无法攻击，只有获得权限的业务人员可以正常访问。

根据云安全联盟的定义，SDP 的主要组件包括发起主机（客户端），接受主机（服务端）和 SDP 控制器，客户端和服务端都会连接到这些控制器。二者间的连接通过 SDP 控制器与安全控制信道的交互来管理。

 

身份识别与访问管理（IAM）是网络安全领域中的一个细分方向。IAM 产品可以定义和管理用户的角色和访问权限，即决定了谁可以访问，如何访问，访问后可以执行哪些操作。

IAM 的核心主要几个方向：

微隔离通过细粒度的策略控制，可以灵活地实现业务系统内外部主机与主机的隔离，让东西向流量可视可控，从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有三种技术路线，分别是云原生微隔离、API 对接微隔离以及主机代理微隔离，其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。

 

以身份为中心

零信任的提出，最主要的原因是为了解决传统上仅基于边界管控的粒度过粗、无法细化相关权限的问题。但在目前中国信息安全的大环境下，其实早就已经存在很多类零信任的实践，比如在企业内部使用的各种堡垒机、云端身份认证、VPN 等。

 

可以认为，零信任的本质应该是提出一个统一的治理框架，整合上述这些分散、无组织的甚至是凌乱、无序的认证、授权和资源访问控制应用或装置，最终可能演化成一套完整的标准和落地方案，包括各种访问控制策略标准、授权策略标准、参与对象标准和 API 标准等等。

 

零信任对访问控制进行了范式上的颠覆，引导安全体系架构从「网络中心化」走向「身份中心化」，其本质诉求是以身份为中心进行访问控制。Authing 正是「零信任」安全体系下身份安全基础设施的产品实现。