零信任架构

我们谨通过对“安全”网络周边的过度增长，我们致函发现其安全性严重损害。一旦这种外围突破，内部系统就会迅速且轻松地部署自动化数据提取工具和赎金软件攻击的攻击者保护，这一切都经常保持未被发现的攻击者。这使我们推荐零信任架构（ZTA）作为现在明智的默认值。

ZTA是安全架构和策略的范式转变。它基于网络周边不再代表安全边界，并且不应仅基于其物理或网络位置向用户或服务授予隐式信任。可用于实施ZTA方面的资源，工具和平台的数量不断增长，并包括强制性代码策略基于最不特权和可能的原则，不断监测和自动化的威胁缓解;使用服务网格强制执行安全控制应用程序与服务和服务到服务;实施二进制证明验证二进制文件的起源;包括安全的飞地除了传统的加密外，强制执行数据安全的三个支柱：在运输过程中，休息和内存。介绍该主题，请咨询nist zta.出版物和谷歌的白皮书超越。

虽然计算和数据的结构继续在企业转移 - 从单片应用到微服务，从集中数据湖到数据网格从预先托管到Polycloud，随着连接设备的增长，对最大部分部分保护企业资产的方法保持不变，在网络周边的繁忙和信任中，组织继续进行重大投资来保护其资产通过使用私人链接和防火墙配置来解决其企业的虚拟墙壁，并替换不再为今天的现实服务的静态和繁琐的安全流程。这种持续的趋势使我们强调零信任架构（ZTA）再次。

ZTA是安全架构和策略的范式转变。它基于网络周边不再代表安全边界，并且不应仅基于其物理或网络位置向用户或服务授予隐式信任。可用于实施ZTA方面的资源，工具和平台的数量不断增长，包括：实施代码策略基于最少的特权和作为可能的原则的颗粒，持续监测和自动化威胁缓解;使用服务网格强制执行安全控制应用程序与服务和服务到服务;实施二进制证明验证二进制文件的起源;包括安全的飞地除了传统的加密外，强制执行数据安全的三个支柱：在运输过程中，休息和内存。介绍该主题，请咨询nist zta.出版物和谷歌的白皮书超越。

今天的组织技术景观与资产 - 数据，函数，基础设施和用户越来越复杂 - 跨越安全边界，例如本地主机，多个云提供商和各种SaaS供应商。这要求企业安全规划和系统架构的范式转变，从静态和缓慢更改的安全策略管理，基于信任区域和网络配置，以基于时间访问权限的动态，细长的安全策略实施来源。

零信任架构（ZTA）是一个组织的战略和旅程，以实现所有资产的零信任安全原则 - 例如设备，基础架构，服务，数据和用户 - 并且包括实施实践，例如保护所有访问和通信，无论网络位置如何，强制执行策略根据基于最小特权和粒度的代码，也可以持续监控和自动化威胁缓解。我们的雷达反映了许多促进技术，如作为代码的安全策略那端点安全的Sidecars和超越。如果您正在向ZTA的旅程中进行，请参阅NIST ZTA出版物要了解有关原则的更多信息，使技术组件和迁移模式以及Google的出版物超越。