零信任网络是什么（通俗易懂）

零信任网络中存在如下 5 个基本断言：

1. 网络无时无刻不在危险之中；
2. 网络始终面临着内部和外部威胁；
3. 仅根据网络位置不足以确定是否可信；
4. 所有设备、用户和网络流都必须经过认证和授权；
5. 安全策略必须是动态的，并根据尽可能多的数据源来确定。

传统的网络安全架构将不同的网络（或单一网络的不同部分）划分为不同的区域，并使用防火墙来隔离不同的区域。每个区域都被赋予不同的信任等级，而信任等级决定了可访问的网络资源。

这种模型提供了极其强大的纵深防御能力，例如，对于风险较高的资源，如面向公共网络的 Web 服务器，将其放在隔离区（DMZ），并对进出该区域的流量加以严密的监视和控制。这种做法催生了一种类似于下图所示的架构（你以前可能见过）。


为了改善这种传统的网络安全架构，存在很多权宜之计，但面对现今的网络攻击形势，这些措施收效甚微。传统的网络安全架构存在如下缺点：

• 不检查区域内部的流量；
• 在主机部署位置方面缺乏灵活性（物理和逻辑方面也是如此）；
• 存在单点故障。

必须指出的是，如果不再根据网络位置来确定可信度，VPN 也就没有存在的必要。

VPN 让用户能够进行认证，以获取位于远程网络中的 IP 地址；再通过隧道技术将流量传输到远程网络，流量到达远程网络后被解封装并路由。这是一个严重的安全后门，但未曾被人怀疑。如果宣称网络位置对确定可信度毫无价值，诸如 VPN 等多种现代网络通信方式将惨遭淘汰。当然，这意味着必须将安全措施实施点尽可能前推到网络边缘，同时意味着网络核心无须再承担这种职责。

另外，所有主流操作系统都提供了有状态防火墙，交换和路由技术也取得了长足进展，这让人能够在网络边缘部署高级功能。考虑到所有这些因素，可得出如下结论：转变网络安全范式正当其时。

通过分散地执行安全策略并遵循零信任原则，可构建出类似于下图所示的网络安全架构。

零信任模型中的控制平面

在零信任模型中，支持系统被称为控制平面。除控制平面以外的其他部分都属于数据平面，由控制平面进行协调和配置。

针对受保护资源的访问请求，将先由控制平面进行处理，对设备和用户进行认证和授权。这一层将应用细粒度的控制策略，可能考虑如下因素：在组织中的角色、在一天中的什么时间访问、地理位置和设备类型。如果要访问的是安全等级较高的资源，可能需要强制进行更高强度的认证。

确定请求得到许可后，控制平面动态地配置数据平面，使其接收来自该客户端（也仅限该客户端）的流量。另外，控制平面还可能进行协调，以确定要在请求者和资源之间建立的加密隧道的细节，这可能包括一次性的凭证、密钥和临时端口号。

需要指出的是，控制平面对于请求的许可决策是有时间限制的，而不是永久性的。这意味着，如果最初促使控制平面做出许可决策的因素发生变化，控制平面可以与数据平面进行协调，进而撤销资源访问权限。

对于上述措施，在严格程度上可以做出一些妥协，但基本理念是不变的，那就是由权威方或可信的第三方根据各种输入实时认证、授权和协调访问。