当我们踏着欢快的步子迈入2019年时，应当明白我们仍然面临着大规模的网络攻击，网络攻击有可能暴露数百万人的敏感数据，将从企业及个人声誉和资产损失各个角度对企业产生影响。为了积极应对网络攻击带来的挑战，在越来越多的分析公司不断强调零信任模型的使用，零信任模型已经再次成为网络安全人士关注的焦点。谷歌等科技巨头可谓是早期发布采用零信任的成功典型案例，并提供了减少网络风险方面所带来好处的详细说明。
　　Zero Trust模型首次由ForresterResearch于2010年与美国国家标准与技术研究院(NIST)合作推出，虽然成为今年的关注焦点但却不是一个新概念。零信任模型不是使用“信任验证”的传统指导方法，而是将“永不信任，始终验证”作为其指导原则。零信任模型基于以下三个支柱：

　　确保所有资源安全地访问，无论处在任何位置(换句话说，不再有受信任区域)。

　　应用最小权限策略，并严格执行访问控制。在Zero Trust中，所有用户最初都是不受信任的。

　　检查所有流量并记录。即使源自LAN的流量也被认为是可疑的，并且被记录和分析，就像它来自WAN一样对待。

　　零信任的行业动力

　　零信任模型自成功推出以来，零信任及其概念的优势已经悄然发生了重大变化。如今，很多企业组织正在使用Zero Trust来推动安全战略计划，并通过检测和响应使业务决策者和IT领导者能够实施务实的预防措施。

　　零信任如今是网络安全行业的热门话题，许多思想领袖都站出来使用它来定位和推销他们的产品，是指导他们设计产品的未来路线图。最近几项并购交易甚至受到零信任概念影响，将该功能纳入收购方技术组合的愿望(例如，思科以23.5亿美元收购Duo Security，Okta 收购ScaleFT)。虽然非所有的安全分析公司都使用相同的Zero Trust命名法，但包括Gartner(推广CARTA术语，适应性，风险和信任评估)大多数，451研究机构和KuppingerCole都采用零信任方法来解决当今的威胁问题。

　　此外，Zero Trust已经从一个概念发展成为越来越多的企业和政府机构正在使用的安全框架。根据IDG 2018年安全优先事项调查显示，71%的以安全为中心的IT决策者都了解零信任模型，已有8%的人在其组织中积极使用它，10%的人开始试用它。

　　零信任之路始于身份

　　实施Zero Trust不需要对现有的网络架构(如Google执行的架构)进行全面的重新设计，可以通过逐步修改当前的基础设施来实现。从技术角度来看，Zero Trust框架包含旨在保护网络、数据、工作负载、人员/工作人员和设备的各种组件，同时提供对安全威胁的可见性、自动化和协调修复以及通过API进行互连。

　　一个驱动原则应该是网络攻击者访问敏感数据的最简单方法是破坏用户的身份。事实上，根据Forrester Research的调查数据，80%的安全漏洞涉及特权凭证。Gartner表示，65%的企业存在允许不受限制、不受监控和共享使用特权帐户等问题。

　　在组织开始实施以身份为中心的安全措施之前，帐户泄密攻击将继续为数据泄露提供完美的伪装。对于大多数组织而言，Zero Trust的路径应该从身份开始。实际上，Gartner建议将Privileged Access Management放在组织的安全项目列表之上。承认网络中已存在不受信任的参与者，涉及基于授予最小特权访问权限而转向安全模型。此零信任权限方法实现以下元素：

　　验证用户是谁

　　将特权访问请求上下文化

　　建立安全管理环境

　　授予最低权限

　　审核一切

　　应用自适应安全控件

　　最终，Zero Trust挑战并消除了传统安全措施中固有的信任假设，这些措施使组织容易受到外部和内部攻击。由于特权访问滥用是当今漏洞的首要因素，考虑零信任模型的组织应该通过投资身份相关技术开始他们的零信任网络安全旅程。