数据与云安全

零信任安全

约 4 分钟阅读

最后更新: 2026-03-12

什么是零信任安全

零信任安全是一种以“永不信任,始终验证”(Never Trust, Always Verify)为基本原则的安全模型。由 Forrester Research 分析师 John Kindervag 于 2010 年提出,2020 年 NIST 以 SP 800-207“Zero Trust Architecture”进行了体系化。

传统的边界型防御(Perimeter Security)将内部网络划分为“可信区域”,外部为“不可信区域”,通过防火墙保护边界。然而,随着云迁移、远程办公和 BYOD 的普及,“内部”与“外部”的边界变得模糊,一旦边界被突破,攻击者可以在内部自由横向移动(Lateral Movement)的结构性弱点暴露出来。

零信任不论网络位置如何,对每个访问请求都进行验证。即使是来自内部网络的访问,也会综合评估用户身份、设备状态、访问目标资源和上下文(时间、位置、行为模式)来做出允许/拒绝的判断。

零信任的技术组成要素

零信任不是单一产品,而是多种技术要素组合的架构。

身份与访问管理IAM 是零信任的核心。通过多因素认证(MFA)、单点登录和条件访问策略严格验证用户身份。

设备信任评估:确认访问设备是否符合组织的安全策略(操作系统补丁状态、杀毒软件运行状态、磁盘加密状态)。

微分段:将网络分段进一步细分,在工作负载级别进行访问控制。即使某台服务器被攻破,也能防止向其他服务器的横向移动。

最小权限原则:仅授予用户和应用程序业务所需的最小访问权限。即时访问(JIT)在需要时临时提升权限也是有效的做法。

持续监控与分析:收集和分析所有访问日志,检测异常行为模式。UEBA(用户和实体行为分析)承担此角色。

零信任导入的分阶段方法

向零信任的迁移不是一夜之间完成的,分阶段推进是现实的做法。

阶段 1:可视化 - 首先盘点组织内的用户、设备、应用程序和数据流。在未确定保护对象(保护面)的情况下导入对策,效果有限。

阶段 2:强化身份基础 - 为所有用户导入 MFA,通过 SSO 统一认证。仅此一项就能大幅降低未授权访问的风险。

阶段 3:设备管理与访问控制 - 通过 MDM(移动设备管理)管理设备状态,应用条件访问策略。限制不符合策略的设备的访问。

阶段 4:微分段 - 细分网络,将工作负载间的通信控制到最小限度。

传统的 VPN 多为“连接后即可访问整个内部网络”的设计,与零信任原则相悖。建议迁移到 ZTNA(零信任网络访问)。

零信任的实施步骤

实施零信任时,分阶段建设四个技术领域。

1. 严格的身份验证:对每个访问请求严格验证用户身份。仅密码认证是不够的,需要在 IAM 平台上强制启用多因素认证(MFA)。此外,引入基于风险的认证,对来自异常位置、时间或设备的访问要求额外的认证步骤。缩短认证凭据的有效期,频繁进行会话重新验证,以最小化凭据被盗的损害。

2. 设备态势检查:实时评估访问设备的安全状态。检查操作系统补丁状态、磁盘加密有效性、杀毒软件运行状态、越狱状态等,限制或阻止不符合策略的设备访问。与 MDM(移动设备管理)和 EDR(端点检测与响应)的集成不可或缺。

3. 微分段:将网络分段细分到工作负载级别,将应用程序间的通信控制到最小限度。即使某台服务器被攻破,攻击者也无法横向移动到其他服务器。使用软件定义的微分段,无需更改物理网络即可实现逻辑隔离。

4. 持续监控:认证和访问授权不是一次性判断,而是在会话期间持续评估风险。使用 UEBA(用户和实体行为分析)检测异常行为模式,当风险评分超过阈值时立即终止会话。将所有访问日志汇集到 SIEM 进行关联分析,检测单一日志无法发现的攻击模式。

导入案例与挑战

以下介绍零信任的代表性导入案例和实际导入中面临的挑战。

Google BeyondCorp:被称为零信任的先驱性实施。Google 从 2011 年开始废除内部网络的边界防御,将所有应用程序的访问统一通过互联网进行。不使用 VPN,基于用户的认证状态和设备信任度控制访问。由于无论在公司内外都适用相同的安全策略,向远程办公的过渡非常顺畅。

NIST SP 800-207:2020 年发布的零信任架构标准文档。系统地定义了零信任的基本原则、逻辑组件(Policy Engine、Policy Administrator、Policy Enforcement Point)和部署方式(基于代理、基于飞地、基于资源门户)。美国联邦政府机构被要求基于此文档进行零信任迁移。

遗留系统集成:零信任导入中最困难的挑战是遗留系统的应对。不支持现代认证协议(SAML、OIDC)的旧应用程序和无法安装代理的嵌入式设备,无法直接纳入零信任框架。对于这类系统,通过反向代理进行访问控制或通过网络分段进行隔离来应对。完全的零信任迁移预计需要 3 到 5 年。

常见误解

导入特定产品就能实现零信任
零信任不是产品,而是安全设计理念。它通过组合 IAM、MFA、微分段、持续监控等多种技术要素,结合组织的策略和运营流程分阶段构建。
导入零信任后就不需要 VPN 了
零信任并不完全取代 VPN。虽然建议迁移到 ZTNA,但在访问遗留系统或特定需求下,VPN 可能仍然需要。逐步减少 VPN 依赖是现实的做法。
分享

相关术语

IAM (身份和访问管理) 管理用户身份并控制对系统和数据的访问权限的框架。实现最小权限原则,仅授予执行工作所需的最小权限。AWS IAM 和 Azure AD 是代表性的云 IAM 服务… 网络分段 将网络划分为多个段,限制段间通信的安全手法。即使一个段被入侵,也能防止攻击扩散到其他段,实现「爆炸半径」的最小化。微分段在云环境中实现更细粒度的控制,可以在工作… VPN (虚拟专用网络) 通过加密互联网通信并经由其他位置的服务器中转,保护实际 IP 地址和通信内容的技术。在使用公共 Wi-Fi 或绕过地理限制时有效,但 VPN 提供商的可信度至关… 防火墙 设置在网络边界,控制通信允许/拒绝的安全机制。有包过滤型、状态检测型、应用网关型等类型,是防止未授权访问和恶意软件入侵的第一道防线。Windows Defend… 单点登录 (SSO) 使用一组凭证登录多个关联服务和应用的认证机制。提升用户体验并减轻密码管理负担。但如果 SSO 认证基础设施被入侵,所有关联服务都将受到影响。Google 账户和… MDM (移动设备管理) 集中管理和保护组织内移动设备的系统。可以远程擦除丢失设备的数据、强制加密、限制应用安装、配置 VPN 和 Wi-Fi 设置等。在 BYOD (自带设备) 环境中…
← 术语表