我們都聽說過“零信任安全”，但未必確切地知道應(yīng)該如何實施，其中部分原因在于這個名稱。零信任聽起來很不錯，但將此概念付諸實施簡直是不可能的。如果用戶們根本不信任任何系統(tǒng)、用戶、設(shè)備、應(yīng)用或是過程，企業(yè)將無法運轉(zhuǎn)。

零信任的一種準確的名稱可能是高度顆?；头植际降男湃?。也就是說，零信任背后的概念其實是分布式信任的高度顆?；目刂啤設(shè)備和B設(shè)備之間的會話可能是被允許的，但并非所有的會話都是允許的，或者說并非設(shè)備A和B之間的所有會話類型都可信。

高度顆粒化和分布式信任這兩個概念形成了零信任安全的兩個關(guān)鍵要素。零信任依賴并要求對系統(tǒng)和數(shù)據(jù)的深入理解，因而IT才能圍繞系統(tǒng)、過程、應(yīng)用和無處不在的用戶部署有意義的邊界。

因而，零信任安全要求IT徹底地重新思考網(wǎng)絡(luò)，其中包括傳統(tǒng)和獨立的路由器、防火墻、分布式拒絕服務(wù)攻擊防御系統(tǒng)、網(wǎng)絡(luò)分段產(chǎn)品及所有其他網(wǎng)絡(luò)元素的角色。安全功能正日益被虛擬化和模塊化為虛擬設(shè)備和虛擬化的網(wǎng)絡(luò)功能，并且能夠在必要時在企業(yè)整個基礎(chǔ)架構(gòu)中實施。

零信任還將安全的自動化置于“安全運維”的中心地位，并且擁有自動化的所有好處：可靠性、靈活性、可擴展性。

實用舉措

網(wǎng)絡(luò)安全專業(yè)人士如何將高度顆?；头植际叫湃?、重新思考網(wǎng)絡(luò)設(shè)計、實施自動化等轉(zhuǎn)變?yōu)閷嵱玫拇胧┠兀?/p>

首先需要做的是虛擬化。計算和應(yīng)用程序的虛擬化相對成熟。多數(shù)企業(yè)已經(jīng)朝著虛擬化服務(wù)器邁進，并且很多企業(yè)已經(jīng)實施了一種基于微服務(wù)和容器的軟件開發(fā)模式。所以，在計算和應(yīng)用層實施零信任要從將顆?；头植际桨踩峤唤o虛擬機、微服務(wù)、容器開始。

很多廠商的工具可以提供基于容器的安全，還有的工具可協(xié)助實現(xiàn)微服務(wù)安全。但是，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的成熟度卻低得多。很多企業(yè)仍通過物理設(shè)備的組合（交換機、路由器、防火墻、負載均衡器、網(wǎng)關(guān)等設(shè)備）來構(gòu)建網(wǎng)絡(luò)。

在一個網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)部實施零信任安全的一個關(guān)鍵步驟就是虛擬化遷移。在數(shù)據(jù)中心和WAN內(nèi)部實施SDN提供了必要的平臺，可以將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全功能實例變?yōu)樘摂M機而非物理設(shè)備。例如，防火墻可能成為一體化SD-WAN設(shè)備中的防火墻虛擬機。這又使功能的自動化和顆粒化控制成為可能。

達到零信任

很多傳統(tǒng)的安全和網(wǎng)絡(luò)廠商及新興廠商都提供這些類型的虛擬化產(chǎn)品，提供對個別會話的顆?；刂?，并且能夠?qū)W(wǎng)絡(luò)許可提供動態(tài)的重新配置。對于企業(yè)來說，重新關(guān)注傳統(tǒng)的和新興的廠商，評估其虛擬化的程度是非常值得的。

在選擇工具時，非常重要的一點是要考慮集中化的策略。有些廠商正開始在網(wǎng)絡(luò)策略引擎方面發(fā)揮作用，為合作伙伴的一系列能夠?qū)嵤┘谢呗缘募夹g(shù)提供支持。不管企業(yè)希望哪個廠商成為策略引擎，非常關(guān)鍵的問題是，要考慮擁有一種集中化的策略倉庫，企業(yè)可以做出能夠波及到整個基礎(chǔ)架構(gòu)的變化。

即使零信任安全并不是其名稱所暗示的那樣，它也將最終改變一切。而且，在實施零信任安全時，網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)是最薄弱的環(huán)節(jié)，所以企業(yè)應(yīng)特別關(guān)注對企業(yè)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)實施虛擬化，并保障其安全。