零信任的基本原则

• 任何访问主体（人/设备/应用等），在访问被允许之前，都必须要经过身份认证和授权，避免过度的信任

• 访问主体对资源的访问权限是动态的（非静止不变的）

• 分配访问权限时应遵循最小权限原则

• 尽可能减少资源非必要的网络暴露，以减少攻击面

• 尽可能确保所有的访问主体、资源、通信链路处于最安全状态

• 尽可能多的和及时的获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应

零信任理念的基本假设

• 内部威胁不可避免

• 从空间上，资源访问的过程中涉及到的所有对象（用户、终端设备、应用、网络、资源等）默认都不信任，其安全不再由网络位置决定

• 从时间上，每个对象的安全性是动态变化的（非全时段不变的）

传统VPN和零信任的区别

1. 传统VPN的概念是只在建立隧道的时候进行一次身份认证和授权，零信任是持续的进行身份认证和动态授权
2. 传统VPN网关缺乏对端、攻击者的安全事件感知，零信任网关会持续收集端的信息（包括和别的安全实施联动），不断进行评估，联动策略中心动态授权
3. 好比身份安检，传统VPN只要你持有账号密码就确认你的身份，给你发放通行证；零信任网关不仅仅需要你持有ID卡（这里我们是证书，具有签名，跟身份证一样比较难伪造），还需要安检你的外贸特征像不像好人，是否携带危险武器会对内部造成破坏

围绕身份为中心原则

传统VPN，认证基于账号，授权基于账号预定义的配置（常量、SSO组织架构等），静态授予，一次授权整个会话生命周期维持不变，完全由网关控制，对于客户端安全事件无法及时感知； 零信任网关认证基于账号体系，授权基于账号预定义（常量、SSO组织架构等）+零信任终端采集数据分析因子+网关事件日志分析因子，动态赋予，整个会话生命周期中权限会实时调整，由终端状态、事件日志、网关共同控制，可以实时感知终端发生的安全事件进行权限调整

资源的访问

授权决定给予什么身份（角色），身份（角色）决定对资源的访问权限，资源访问权限根据系统（application）重要程度进行分类分级

没有端安全能力的零信任是不完整的

我们把一次对于资源的操作分成4个部分，由人控制PC，PC连接到网关，网关对账号进行认证、授权确定会话身份，再转发请求到资源（人=》PC=〉网关=》资源），如果没有终端的安全能力，我们只能完全依赖网关的能力进行安全控制，假如终端发现安全事件，这个时候网关其实是无法感知的，人和网关的信任关系就会脱节

参考

• https://www.freebuf.com/articles/es/276772.html
• https://www.freebuf.com/articles/neopoints/267487.html