2017年，Google宣布其基于零信任理念构建的新一代网络安全架构——BeyondCorp项目成功完成，为零信任安全在大型、新型企业网络的实践提供了参考架构。这一最佳实践成为零信任理念的助推剂，各大安全厂商、分析机构、大型企业快速跟进，对零信任的推广和宣传也持续升温。

2018年8月，思科斥资23.5亿美元收购了身份安全厂商DUO，并在今年的RSA大会上展示了整合之后的“零信任网络”安全解决方案;Microsoft推出了Azure的“零信任”产品，并声称“零信任”将重塑数字化转型时代的网络安全理念;Centrify、Okta等老牌身份与访问管理厂商更是当仁不让，纷纷在其“零信任”方案中强调“以身份为中心”的理念。

2018年9月，奇安信身份安全实验室首次把零信任网络的概念，系统地展现在国内网络安全相关从业者的面前，并且把《零信任网络：在不可信网络中构建安全系统》(以下简称“《零信任网络》”)这本书的作者Evan Gilman邀请到了国内，引发了业界的高度关注和热烈讨论。与此同时，奇安信身份安全实验室宣布将《零信任网络》引入国内，希望通过翻译成中文的方式，把零信任的理念系统、完整地介绍给国内的网络安全业界同仁，供大家讨论、实践和探索。

作为首部介绍零信任网络的专业技术图书，《零信任网络》通过10章的内容，从介绍零信任的基本概念开始，描述了管理信任，网络代理，建立设备信任、用户信任、应用信任以及流量信任，零信任网络的实现和攻击者视图等内容。本书主要展示了零信任如何让读者专注于构建强大的身份认证和加密，同时提供分区访问和更好的操作敏捷性。通过阅读《零信任网络》，读者将了解零信任网络的架构，包括如何使用当前可用的技术构建一个架构。

“在充斥着威胁的网络中构建可信的系统，是网络安全从业者多少年来孜孜以求的目标。在设计和构建可信系统的过程中，人们在解决一些根本性安全问题时遇到了挫折，而这些安全问题一直困扰和折磨着网络安全从业者。因此，我们非常希望业界同仁直面这些根本性的安全问题，更加积极主动地推进能够解决这些问题的安全系统的建设。”——《零信任网络》

传统的网络安全架构是基于网络边界防护的安全架构。企业构建网络安全体系时，首先把网络划分为外网、内网、DMZ区等不同的安全区域，然后在网络边界上通过部署防火墙、WAF、IPS等网络安全技术手段进行重重防护，构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备、系统和应用的信任，从而忽视内网安全措施的加强。

随着网络攻防技术的发展，新型的网络攻击手段层出不穷，攻击者面对层层设防的网络边界，往往会放弃代价高昂的强攻手段，而是针对企业内部网络中的计算机，渗透到企业网络内部，绕过网络边界安全防护措施。由于人们往往认为内网是可信任的，所以攻击者一旦突破企业的网络安全边界进入内网，常常会如入无人之境。此外，企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限，一旦出现凭证丢失、权限滥用或恶意非授权访问等问题，同样会导致企业的数据泄漏。

基于这样的认知，零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议，在《零信任网络》一书中，基于以下五个基本假定对零信任进行了定义：

●网络无时不刻处于危险的环境中。

●网络中自始至终存在外部或内部威胁。

●网络的位置不足以决定网络的信任程度。

●所有的设备、用户和网络流量都应当经过认证和授权。

●安全策略必须是动态的，并基于尽可能多的数据源计算而来。

简而言之：默认情况下不应该信任网络内部和外部的任何人、设备和系统，需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆，其本质是以身份为中心的动态可信访问控制。

奇安信身份安全实验室基于翻译《零信任网络》一书过程中对零信任架构的深入理解，结合国内客户场景的零信任工程经验总结指出，零信任架构即通过构筑以身份为中心的动态虚拟边界产品与解决方案，助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。展开而言，零信任架构的技术实践应具有以下特点：

●以身份为中心：以身份为中心而非以网络为中心构建访问控制体系，需要为网络中的人和设备赋予数字身份，将身份化的人和设备进行组合构建访问主体，并为访问主体设定其所需的最小权限。

●业务安全访问：所有业务默认隐藏，根据授权结果进行最小限度的开放;所有的业务访问请求都应该进行全流量加密和强制授权。

●持续信任评估：信任评估是零信任架构从零开始构建信任的核心实践，通过信任评估引擎，实现基于身份的信任评估能力，同时需要对访问的上下文环境进行风险判定，对访问请求进行异常行为识别并对信任评估结果进行调整。

●动态访问控制：动态访问控制是零信任架构实现安全闭环的核心实践。通过RBAC和ABAC的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问，同时，当访问上下文和环境存在风险时，需要对访问权限进行实时干预。

据悉，奇安信身份安全实验室，是奇安信集团下属专注“零信任身份安全架构”研究的专业实验室。奇安信集团作为国内网络安全领军企业，拥有近6500名员工，产品已覆盖90%以上的中央政府部门、中央企业和大型银行，2016-2018年三年的营业收入的年复合增长率超过90%，增长速度创国内记录。奇安信身份安全实验室以“零信任安全，新身份边界”为技术思想，推出“以身份为中心、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。