文章总结： 零信任是一种以身份为中心的安全理念，核心是不自动信任内外部任何主体，通过持续验证、动态授权和最小权限原则构建动态可信访问控制。相比传统边界防护，其强调应用隐身与全程监控。主要技术包括SDP、IAM和微隔离。虽然目前落地案例不多，但未来将成为企业安全建设的重要方向。 综合评分： 84 文章分类： 安全建设,解决方案,网络安全

零信任概念概述

原创

信安路漫漫

信安路漫漫

2025年12月24日 07:00 上海

前言

在很多地方都听说过一句话“信息安全问题的本质是信任”，正是由于我们默认信任了一些东西，才导致了问题，就比如web漏洞，我们信任了用户的输入，所以没有对其进行限制以及过滤，这样就导致了SQL注入，xss等web漏洞的出现。刚好最近零信任的概念很火，本篇文章就来认识一下零信任架构。

零信任是什么

零信任是一种安全模型，指企业不应自动信任内部或外部的任何主体，应在授权前对任何试图接入企业系统的主体进行验证，并对访问过程进行持续监控。

零信任(Zero Trust)理念是指在不可信的网络环境中建立可信通道，构建以身份为中心的业务动态可信访问控制机制，通过使用更灵活的技术手段对动态变化的用户、终端、系统建立新的安全边界。因此，建立基于身份为边界的安全策略是零信任理念中的核心内容。

如传统的方式我们通过VPN经过身份验证以后就可以进入内网，这时我们就可以访问内网的任何应用，如OA系统，域控等等，还可以进行端口扫描等行为。

而在零信任架构下，应用被隐藏在后面，我们需要访问什么应用就要申请什么样的权限，而且在整个访问过程中还会进行持续的监控，出现违规行为会进行告警或者阻止访问。

零信任与传统的安全模型存在很大不同，传统的安全模型通过“一次验证+静态授权”的方式评估实体风险，而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。

个人理解

过去防护的重点都是放在的保护资源的边界，例如防火墙，waf，VPN等等安全设备。如果攻击者通过0day，钓鱼，水坑攻击等进入到了内部，这种情况下缺少有限的检测以及防御方式。因此推出了零信任架构，对每一个请求“持续验证，动态授权，持续监控”。

零信任的几个特征

应用隐身

持续验证，动态授权

最小权限

零信任遵循的原则

• 所有访问主体都应该经过身份验证和授权。
• 所有访问主体对资源的访问权限应是动态的，分配访问权限时应遵循最小权限原则。
• 身份认证不仅针对用户，还应对终端设备、应用软件、链路等多种身份进行多维度、关联性的识别和认证。
• 在访问过程中应根据需要多次发起身份认证。

零信任理念的核心

以身份为中心进行动态访问控制，身份的主体包括人、程序、设备、系统、应用等，通过定义谁（身份）对哪些资源具有哪种访问权限（角色）来控制访问权限。零信任既不是技术也不是产品，而是一种通过永不信任、始终验证的方式实现建立可信计算安全体系的安全理念。

零信任架构

下面是出自《企业信息安全体系建设之道》上的一张零信任架构图

主机在访问任何资源前都必须经过零信任控制中心的授权才可以去访问。

零信任安全控制中心的核心是实现对访问请求的授权决策，以及提供为决策而开展的身份管理、安全监测等功能。

而零信任安全代理的核心是实现对访问控制决策的执行，以及对访问主体的安全信息采集，对访问请求的转发、阻断等功能。

下面是华为给出的零信任实现架构

零信任技术

实现零信任架构的三大技术

软件定义边界（SDP）

软件定义边界(Software Defined Perimeter，SDP)使应用程序所有者能够在需要时部署安全边界，以便隔离服务与不安全的网络。

我这里理解的是SDP模糊了传统的信任边界，SDP将所有的应用隐藏，访问者不知道应用的具体位置。

身份与访问管理（IAM）

身份与访问管理(Identity and Access Management，IAM)强调基于身份的信任，就是指只有被信任的身份的终端，在拥有正确的权限时才可对资源进行请求。

微隔离（微隔离）

微隔离(Micro Segmentation，MSG)是一种网络安全技术，通过细粒度的策略控制，可以灵活地实现业务系统内外部主机的隔离策略，让主机之间的流量可视可控，从而更加有效地防御黑客或病毒持续性、大面积地渗透和破坏。

总结

虽然零信任理念挺火的，但是实际实现了这一理念的并不多。在安全问题日益突出的情况下，后续可能会有越来越多的公司去接受并实现零信任架构。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安路漫漫 信安路漫漫《零信任概念概述》