“零信任”是基于网络的安全架构，该架构要求所有进入网络的内部和外部的网络用户，在被赋予应用及数据访问权之前，需要先获准、验证并持续监控其网络设置、安全性以及认证过程。

零信任模型是适用于网络连接的“最小特权原则”的一种形式。它假定资产和用户将在恶劣的环境中进行交互，这些环境本质上就不可信赖；因此，就必须采取措施抵消这种信任缺失。

BARR Advisory高级顾问Steve Ryan表示，无信任为组织提供了一种多层保护环境的方法。“通过网络划分细粒度用户访问控制和持续监控，实施无信任模型的组织可以降低其环境中受攻击区域的风险，并防止在进入后再次被验证。”他补充说，即使攻击者成功闯入，实施零信任的组织也需要在网络的所有入口处重新验证。

建立弹性

无论组织是主要目标、多目标攻击的受害者还是附带损害，如果它使用公共的、不安全的互联网，都很容易受到攻击。幸运的是，通过采用零信任原则和控制，可以量化提高其运营、弹性和繁荣的能力，Fite 说。

全球咨询公司Protiviti的董事总经理Nick Puetz表示：“零信任模型为所有层都提供了一个适当的防患措施，以对抗日益复杂的攻击性攻击，并且随着可用熟练资源滞后，自动化和编排将在网络运营方面发挥关键作用。”他继续说，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596现代技术需要现代框架与能力来应对风险。

"计划"与“实施”

Puetz 警告道，组织应该先确定其网络能力架构，“不以特定的技术起步，”而是要列出希望由技术实现的功能。

Puetz建议首先考虑现有的技术，比如绝大多数现今的网络技术都很容易被融入或者内置有零信任功能。这样，从基础层面取得一些初步的成功会让人感到欣慰，并可以进一步提升系统的安全性。“从小处着手，获得一些快速的胜利。”

全球技术研究和咨询公司ISG的网络安全顾问Scott Ricco表示决定部署什么以及如何实施是实现零信任之旅的关键步骤。他说组织若没有预先制定共同愿景，则将很快发现自己在各个团队赞助的众多零信任项目中。这些举措最终达到零信任水平，但往往花费更多的时间、更长的成本且功能也更为重复。

当他们开始拥抱零信任原则的时候，网络领导者们应该时刻铭记：所有可能有漏洞的地方都可能会成为入侵者的目标。他们不能让自我感觉良好的心理使他们误以为可以放任任何安全威胁存在，而不能保证自己的防线不会被轻易突破。

几乎所有网络的所有者都已具备开始转向零信任之旅所必需的大部分或全部组件。“通过从当前资产中获取更多价值来加快旅程，”Fite说道。此外，通过集成、优化和自动化现有控制，组织可以获得在物联网中的适当转型和发展所需的信心和可信度。

一个新的哲学术语

“零信任并非可以购买的技术，也不是你雇用的人。这是私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596一个整体理念，它可能需要数年时间才能被实现，而且许多公司不会对零信任技术进行全面的使用，”Puetz说，“把它当作一段旅程而不是一个特定的目的地，你的期望就会很好地保持一致。”

Riccon强调道：别让零信任的新方法阻挡您尝试探索它们。他说：“变化可能有助于您进步。”新的网络防护措施从阻止问题发展到了更高级别的技术应用，这可以帮助您走得更远、更迅速地解决问题。

各机构的零信任旅程都不会一样。

打造五个步骤以创建无信任战略

Capgemini的全球网络安全产品部门经理Joe McMann分享了关于构建零信任网络安全策略的5个关键步骤。

1. 将网络中的所有元素都识别清楚，您才不会因为不了解自己的资产而不能进行适当的防御。

2、制定网络分区计划。此计划应包括重要业务功能及其相应的网络流量要求，同时识别需要保护的关键服务并实施安全措施以防止其被横向移动。

3、制定明确的策略，并通过访问控制来更好地管理对每个新网络段的访问。

4. 加强零信任实践的建立和执行能力。这些实践应包含在安全管理手册中，并为网络安全专业人员提供全面的理解，以便他们能充分发挥零信任架构的功效。

5. 应该在所有现有的网络架构中实施托管的检测和响应策略，以实现零信任。但是不可忽视，这些策略依然对遏制威胁、回应网络漏洞至关重要。

原文：https://www.networkcomputing.com/network-security/getting-started-zero-trust-security-network-model