零信任

说到零信任（通常缩写为ZT），让我们先弄清楚一件事：它不是一个流行词。营销人员竭尽所能，让人觉得单个产品就相当于一个 "零信任网络"。这是错误的。ZT 是一种策略，而不是一种工具。

ZT 方法做到了它听起来的样子。什么都不信任。用户不可信，设备不可信，网络也不可信。什么都不信任......甚至连那个谁都不认为是计算设备的、支持 WiFi 的恒温器也不信任。这与当今的 Network+ 截然不同。几十年来，网络都是按照受信任用户和设备与非受信任用户和设备的概念来构建的，通常使用分区方法创建 。例如，一个组织可能有一个独立于限制区的运行区。当网络流量从运行区进入限制区时，通常会有一个内联网络设备对其进行检查。 称为南北 流量。一个区域内的网络流量被称为东西向流量，当它从同一区域内的一个系统流向另一个系统时，不会受到检查。

区域内这种不受限制的流量使得网络钓鱼和勒索软件活动如此有效。我指的不是最初的入侵。我指的是初次入侵后向其他系统的横向移动。正是横向移动导致单次入侵变成全面入侵。这就是微分割和微测距概念发挥作用的地方。

微分段包括将网络划分为更小、更细的网段，每个网段都有自己的安全策略。这种分割有助于限制横向移动，确保即使一个网段被入侵，攻击者也无法轻易访问其他网段。微段是这些网段的安全边界，执行严格的访问控制并监控流量，以保护每个微段内的资源。可以把微分段看作是不同网段的设计，而微参数则是保护不同网段安全的工具。图 12-1显示了传统分区方法与微分段网络方法的区别。

图 12-1. 传统网络与微分区

在图 12-1 的左侧，您看到的是传统的网络分区方法，有三个平面网段。在 DMZ 和运行区之间，通过防火墙（标有 FW）进行网络检查。但是，一旦进入该区域，所有机器都可以相互访问（东西向流量不受限制）。在图的右侧，你可以看到一种微分段方法。在这种分段方法中，只有需要通信的服务器和工作站被集中在同一区域（如系统周围的方框所示）。这就是限制横向移动的含义。在这种网络架构中，东西向流量受到限制。

尽管微分段和微周界的概念是 ZT 的重要组成部分，但 ZT 所涉及的远不止网络原理。它涉及网络安全的方方面面。实施该战略可确保 Cloud 和传统网络中资产的安全。无论是从技术角度还是从业务角度来看，ZT 战略的目标都非常丰富。您将在下面的章节中了解我的意思。

我们还要澄清一下零信任和零信任架构之间的区别，因为在后面的章节中你会看到这两个术语。这两个词并不能完全互换。零信任（ZT）是一种策略，而零信任架构（ZTA） 是零信任策略的实施。

零信任原则

零信任原则是在零信任环境中设计和实施安全的基本准则。这些原则将安全从基于边界的模式转变为基于持续验证、最小特权和明确信任决策的模式。在题为 "零信任架构 "的文件（特别出版物 800-207）中，NIST 概述了以下 ZT 原则：

• 所有数据源和计算服务都被视为资源。 ...