`🌕写在前面 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 ✉️今日分享：`

莫道前路多险阻，再闯关山千万重

🍀 前言

轻舟已过万重山，始终不忘初心。在网络安全领域，我们需要始终保持警觉，不断学习和探索新的安全技术和策略。零信任架构作为一种新兴技术，具有突破传统网络安全边界的优势，值得我们深入研究和探索。

关于零信任的介绍可以先阅读前面三篇：零信任的基本概念【新航海】、零信任架构分析【扬帆】、零信任的三种主流技术【远航】，今天开始零信任系列第四篇：零信任落地实践【新世界】，希望对您学习和实践零信任有帮助。

本文将探讨如何落地实践零信任架构，以便更好地保护企业的信息安全。文章将介绍零信任架构在企业落地实施要注意的几个方向，并提供一些实用的建议和技巧，帮助企业更好地应对安全挑战。

🍀 零信任落地实践面临的挑战

要实现零信任架构的落地实践，企业面临着一系列挑战和难点。

🍊复杂性

零信任架构需要企业对网络和数据进行全面的分析和评估，确定不同的安全策略和控制点。这需要企业具有一定的技术水平和专业知识，否则会增加实施的复杂性。

🍊资源限制

实施零信任架构需要企业投入大量的资源，包括人力、物力和财力等。对于一些中小企业来说，资源的限制可能会成为实施零信任架构的障碍。

🍊文化和组织架构

零信任架构需要企业改变传统的安全观念和管理方式，采取更加灵活和开放的管理方式。这需要企业建立相应的文化和组织架构，适应零信任架构的要求。

🍊技术兼容性

实施零信任架构需要企业采用一系列新的安全技术和产品，这需要这些技术和产品与企业原有的技术和产品兼容。否则，将会增加实施的难度和成本。

🍀 零信任落地实践方案

以下是四种实践，可帮助您确定工作的优先级，安全地验证设备，确保系统的可见性以及消除虚假信任。

🍊 了解和评估自身的安全风险

在实际执行当中，通过全面地了解和评估自身的安全风险，企业可以更好地识别和管理安全威胁，制定相应的安全策略来保护企业的敏感数据和资源。

🌳进行全面的安全风险评估，并制定相应的安全策略

第一步，确定评估范围。企业需要确定评估的范围，包括评估的对象、评估的方法和评估的时间。

第二步，收集相关信息。企业需要收集和分析相关的信息，包括企业的安全政策和规程、网络拓扑结构、应用程序、用户和设备等。

第三步，识别安全威胁。企业需要识别可能存在的安全威胁，包括内部和外部的威胁。企业应该根据威胁的类型、来源、影响等因素进行分类和分析。

第四步，评估安全风险。企业需要评估安全风险的概率和影响程度。评估的结果应该基于安全威胁的影响和概率，确定其优先级和紧急程度。

第五步，制定相应的安全策略。企业需要根据评估的结果，制定相应的安全策略，包括技术和管理措施。这些措施应该针对特定的安全威胁和风险等级，以保护企业的敏感数据和资源。

🌳持续认证评估，永不信任

一般厂商的零信任组件产品对经过身份认证的用户行为也会进行数据采集，不断进行环境感知，只有身份权限和信任评估通过之后才能进入零信任的访问控制台，再进入到具体的业务系统。参考如下图：

🍊实施多层次的访问控制

零信任的核心变革就是让企业网从IP网络升级到ID网络。多层次的访问控制可以帮助企业实现对用户和设备的精细化控制，确保只有经过授权的用户和设备才能访问企业的资源和数据。

🌳 实施多层次的访问控制的原则和方法

在实施多层次的访问控制时，企业需要采取以下方法：

1）采用网络分段：企业可以将网络分成多个区域，每个区域都有不同的访问控制规则和策略。

2）实施访问控制策略：企业需要制定访问控制策略，包括身份验证、授权、审计和报告等。

3）实施网络隔离：企业需要实施网络隔离，以防止安全漏洞扩散到整个网络中。

🌳建立统一的认证平台，提升基础安全及执行能力

建议建立统一的认证能力平台，为所有业务系统提供认证能力。所有业务平台对接认证能力平台以获得中级及以上认证能力，大幅降低因认证方式带来的风险。

可结合已经建立的4A系统，升级4A系统认证体系。使用多因素认证提高安全等级。收集并绑定设备指纹，将每台设备（PC 端或移动端）与账户关联绑定。通过账号与设备的绑定，实现用户、账号、设备三位一体的认证体系。

建立以零信任网关为核心的控制体系，该方式将大大提高对用户访问行为的控制，弥补现有业务系统在访控制方面的安全短板。建立采集系统，在用户使用业务系统时，采集行为和环境信息。零信任网关体系可以与 4A 系统和其它业务系统结合，通过代理技术隐藏所有被代理系统的 IP 和端口，并对用户的访问行为进行鉴权检测。

*拓展：零信任和云原生安全进行结合的例子，通过统一身份管理平台IAM系统进行统一用户身份认证与访问管理，为微服务的认证授权与访问控制打下基础。其次，借鉴云原生Service Mesh的思想，将微服务的认证、授权与访问控制任务下沉至每个微服务的SideCar代理中，并通过微服务管理平台的策略配置对各微服务的认证、授权与访问控制策略进行管理。最后，通过云原生微服务管理平台、API网关与IAM系统的对接，实现微服务应用之间基于身份的认证授权与精细化访问控制。

基于身份的微隔离零信任架构

🍊应用程序和数据的保护

从终端可信、身份可信、网络可信到数据可信，各个环节建立多层防线。

🌳安全策略

对数据的保护：基于零信任安全理念，将数据使用权和数据所有权分离，构建虚拟隔离的数据资源安全边界，防止数据泄露、数据篡改等事件发生，打造零信任架构下的新一代数据安全管控和隔离方案，实现数据传输、使用、共享安全。

4个可信示例

对应用的保护：在应用运行中，可以通过基于身份的微隔离技术实现基础设施/应用之间的安全访问控制；通过应用验证与防护技术实现应用安全风险的发现及异常访问阻断，最终实现应用安全风险无限趋近于0。

🌳网络策略

零信任意味着零。这包括企业本地网络，不应该依赖网络本身来保护通信。相反，应在网络内运行的设备和服务中建立信任。例如，通过实施加密协议（例如TLS）。如果您依靠本地网络来确保安全，则可能会打开连接来攻击DNS欺骗，中间人（MitM）攻击或未经请求的入站连接等攻击。

🍊实施监控和响应机制

监控和响应机制可以帮助企业发现潜在的安全威胁，及时采取应对措施，减少安全事件的影响；同时，为后续的安全分析和调查提供重要的数据支持。

🌳将监视重点放在设备和服务上

部署一套零信任架构并不能高枕无忧，日常安全运维还是得全面连续监视设备和服务的交互方式。监视时，每个设备都需要单独评估，不能依靠流量检测来捕获攻击行为，也得根据网络上发生的事件评估设备数据，以确保流量与定义的安全策略匹配。

🌳AI+安全运营

这一点属于预判一下未来发展趋势，上一点说道日常运维需要全面连续监控社保，是否可以将ChatGPT集成到安全运营平台（业内也称之为态势感知平台），使用API或SDK等方式，让ChatGPT能够访问和调用态势感知平台中的数据和功能，并根据用户的输入生成合适的输出。让用户可以直接通过ChatGPT在应用层的衍生产品进行安全监控和风险预警，

Bing的回答

*拓展：基于现在大火的ChatGPT，补充个题外话，网络安全领域可以期待一下出现AI Native 的 SaaS 产品。并且引入AI到安全运维中来的话，不需要运维人员操作，直接输入你想要做什么，AI自动执行自动汇报自动处理了，我相信很快会出现这种现象级的产品，到时候直接在客户环境中部署一套AI智能安全运维工具，彻底解放繁琐的安全运维工作。

引入可视化的AI产品，利用前期收集的用户数据，训练适配的模型，建立智能规则引擎，对用户请求的行为信息和环境信息进行自动化评估，关联前期部署的规则引擎，验证并改良智能规则和引擎。通过AI产品建立无感知认证模型，作为辅助认证方式进一步提高用户体验，从“有认证”升华至“无认证”。再通过大数据和机器学习模型，结合深度挖掘技术建立用户画像库，识别用户行为习惯，践行“行为即指纹”理念，实现“零信任”的终极目标。