零信任關(guān)鍵技術(shù)白皮書2023

100010101101101版權(quán)聲明本報(bào)告版權(quán)屬于江蘇易安聯(lián)網(wǎng)絡(luò)技術(shù)有限公司與云計(jì)算開源產(chǎn)業(yè)聯(lián)盟。轉(zhuǎn)載、摘編其相關(guān)責(zé)任。公司目錄目錄前言發(fā)展概況零信任起源與發(fā)展零信任的基本原則設(shè)零信任關(guān)鍵技術(shù)全景全面建設(shè)零信任概述全面建設(shè)零信任關(guān)鍵技術(shù)1設(shè)零信任實(shí)施指南全面建設(shè)零信任參考架構(gòu)7全面建設(shè)零信任典型實(shí)踐全面建設(shè)零信任落地場景束語附錄編制單位介紹零信任關(guān)鍵技術(shù)白皮書前言臻成通過位的零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況 業(yè)務(wù)訪問需求復(fù)雜化，使得企業(yè)原有的網(wǎng)絡(luò)邊界逐漸模糊；二是遠(yuǎn)程辦公、自有設(shè)備 BYOD加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)；三是內(nèi)部橫向移動(dòng)、APT攻擊、勒索軟件等網(wǎng)絡(luò)攻擊手應(yīng)對各種合作伙伴、客戶和員工提供多樣化的網(wǎng)絡(luò)接入和服務(wù)訪問。方案的探索。2010年，F(xiàn)orrester的首席分析師JohnKindervag正式提出零信任概念 的橫向移動(dòng)。體系演變。2014年，谷歌通過一系列論文介紹了BeyondCorp的設(shè)計(jì)思路和落地方案， 零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況N置的所有用戶均能安全地訪問企業(yè)業(yè)務(wù)。任零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況任假。 權(quán)限原則； 當(dāng)被記錄和跟蹤。方向已經(jīng)從企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)發(fā)展為企業(yè)業(yè)務(wù)訪問安全架構(gòu)，提供了旨在消除訪問決策不確定性的一系列概念和組件，進(jìn)一步細(xì)化明確了零信任架構(gòu)設(shè)計(jì)的前提假設(shè)和基本原NIST為代表的安全框一些 均存在無法避免的各種安全威脅； (2)從訪問過程的組成維度來看，參與訪問過程的所有對象默認(rèn)都不可信任，包括用 、零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況 (2)業(yè)務(wù)、資源訪問所依賴的通信機(jī)制必須滿足相應(yīng)的安全要求(身份鑒別、機(jī)密性、 予其最小訪問權(quán)限(遵循最小權(quán)限原則)； (4)對資源的訪問授權(quán)是通過動(dòng)態(tài)策略決定的，影響策略判決結(jié)果的因素包括用戶身 (5)企業(yè)持續(xù)監(jiān)控和測量所有IT資產(chǎn)的安全狀態(tài)，以便對處于不同安全態(tài)勢下的資同的安全策略； IT、訪問請求的元數(shù)據(jù))，以便態(tài)勢。最大限度地收斂暴露面和失陷范圍?！皩?shí)時(shí)上下文”是零信任的實(shí)現(xiàn)基礎(chǔ)，由業(yè)務(wù)訪問過程中，所有可能影響業(yè)務(wù)安全的級零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況圍內(nèi)的所有數(shù)字資產(chǎn)均面臨威脅，需要對它們實(shí)施最大范圍、基于風(fēng)險(xiǎn)的全過程訪問控展策略的部署來加以保證，以確保兼顧來自風(fēng)險(xiǎn)管通過實(shí)時(shí)上下文和持續(xù)驗(yàn)證的統(tǒng)一協(xié)同，零信任限制了用戶身份憑據(jù)的使用范圍和圖1全面建設(shè)零信任概念會(huì)話建立動(dòng)態(tài)訪問控制會(huì)話建立動(dòng)態(tài)訪問控制身份認(rèn)證會(huì)話建立業(yè)務(wù)通信會(huì)話關(guān)閉零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景PAPART 企業(yè)全面建設(shè)零信任的目的是為了提升業(yè)務(wù)資源訪問的速度與安全性，企業(yè)需要建基礎(chǔ)設(shè)施，形成對企業(yè)資源的全方位保護(hù)。零信任架構(gòu)通過提供自適應(yīng)的持續(xù)保護(hù)和主動(dòng)威脅管理，為用戶、設(shè)備和應(yīng)用建立多層級的測與響應(yīng)。技技術(shù)與編排與認(rèn)證零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景 (3)網(wǎng)絡(luò)：訪問主體與資源間各中間節(jié)點(diǎn)構(gòu)成的物理或邏輯通道。 (1)身份認(rèn)證：訪問關(guān)聯(lián)實(shí)體進(jìn)行身份認(rèn)證； (3)業(yè)務(wù)通信：用戶通過安全鏈路訪問業(yè)務(wù)資源； )會(huì)話終止：主客體之間關(guān)閉訪問會(huì)話。： 應(yīng)用服務(wù)等。授權(quán)決策不僅僅基于網(wǎng)絡(luò)位置、用戶角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪問控制模型，零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景圖2全面建設(shè)零信任技術(shù)圖譜 自動(dòng)響應(yīng)與可視化。1.可信身份與認(rèn)證份零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景的關(guān)鍵技術(shù)如圖3所示。圖3零信任架構(gòu)中可信身份關(guān)鍵技術(shù) 用戶數(shù)字身份由用戶屬性、行為、生物特征等標(biāo)簽共同組成，用戶的可信正建立在對數(shù)字身份認(rèn)證的基礎(chǔ)之上，用戶通過動(dòng)態(tài)口令、人臉識別、指紋識別以及認(rèn)證令牌等方式完成身份認(rèn)證。零信任架構(gòu)中的身份認(rèn)證是一個(gè)持續(xù)驗(yàn)證的過程，首先在建立連接之前先執(zhí)行身份認(rèn)證，只有經(jīng)過驗(yàn)證的最終用戶才能訪問資源；其次，在訪問的整個(gè)生命周期中持續(xù)進(jìn)行身份驗(yàn)證，以確定每個(gè)訪問請求的身份和安全狀況；同時(shí)，訪問控制引擎結(jié)合用予對資源的最小訪問權(quán)限。零信任通過自適應(yīng)的、基于風(fēng)險(xiǎn)的評估來識別潛在威脅，做到精細(xì)化的權(quán)限控制，減少因身份憑證被盜或泄露所帶來的潛在威脅，該評估機(jī)制會(huì)貫穿整個(gè)用戶生命周期。 數(shù)字設(shè)備身份由客戶端設(shè)備信息、訪問時(shí)間、入網(wǎng)位置等標(biāo)簽共同組成。零信任架構(gòu)中，設(shè)備的可信主要通過對設(shè)備的安全性進(jìn)行持續(xù)檢查和發(fā)現(xiàn)來實(shí)現(xiàn)。一方面，根據(jù)預(yù)先收集的設(shè)備信息對設(shè)備的訪問行為賦予初始權(quán)限策略；另一方面持續(xù)監(jiān)控設(shè)備行為，對于零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景存儲(chǔ)的信息校驗(yàn)登錄設(shè)備信息以及證書有效性，判斷是否為可信設(shè)備；其次，可信設(shè)備管理將持續(xù)、自動(dòng)化地識別、記錄和跟蹤組織內(nèi)不同類型設(shè)備資產(chǎn)及對應(yīng)屬性，為設(shè)備動(dòng)態(tài)屬性及上下文環(huán)境，完成對設(shè)備的動(dòng)態(tài)認(rèn)證與授權(quán)；最后，零信任架構(gòu)將持續(xù)對所有接入設(shè)備進(jìn)行威脅檢測與響應(yīng)，同時(shí)，信任評估引擎將持續(xù)驗(yàn)證設(shè)備相關(guān)配置策略，并針對不符合配置基線的設(shè)備執(zhí)行修復(fù)操作?？尚旁O(shè)備的重點(diǎn)在于持續(xù)對每個(gè)訪問企業(yè)資源的設(shè) 零信任架構(gòu)默認(rèn)不信任訪問主體的身份，在單次會(huì)話全生命周期中持續(xù)驗(yàn)證訪問主因子，自適應(yīng)SSO和MFA可在不影響用戶體驗(yàn)的同時(shí)增加訪問安全性。SSO單點(diǎn)登錄允許用戶通過一組登錄憑證訪問多個(gè)相關(guān)的應(yīng)用程序和服務(wù)。為了降低多個(gè)應(yīng)用程序依賴于同一組登錄憑證的風(fēng)險(xiǎn)，通常需要對SSO使用自適應(yīng)認(rèn)證。如果用戶在嘗試通過SSO登錄時(shí)或在其SSO認(rèn)證會(huì)話期間表現(xiàn)出異常行為，如通過無法識別的VPN進(jìn)行連接、訪問用戶會(huì)話認(rèn)證令牌未涵蓋的應(yīng)用程序或數(shù)據(jù)等，SSOMFA的多種非密碼認(rèn)證因子，降低密碼泄露帶來的潛在安全隱患。2.數(shù)據(jù)隔離保護(hù) 數(shù)據(jù)沙箱可以為員工提供可信的終端工作環(huán)境，如圖4所示，支持多域多安全級別的零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景能在安全工作域內(nèi)訪問業(yè)務(wù)資源；二是工作空間全生命周圖4終端沙箱的安全能力數(shù)據(jù)沙箱使用內(nèi)存映射技術(shù)，為每個(gè)進(jìn)程創(chuàng)造一個(gè)單獨(dú)的地址空間，用以隔離多個(gè)進(jìn)程的代碼和數(shù)據(jù)，通過內(nèi)核空間和用戶空間不同的特權(quán)級來隔離操作系統(tǒng)和用戶進(jìn)程的代碼和數(shù)據(jù)。關(guān)鍵隔離技術(shù)包括：文件隔離?隔離宿主機(jī)與空間文件系統(tǒng)；剪切板隔離?隔離剪切板的數(shù)據(jù)通道；網(wǎng)絡(luò)隔離?隔離應(yīng)用訪問通道；注冊表隔離?隔離應(yīng)用系統(tǒng)配置；進(jìn)程通信隔離?隔離進(jìn)程避免數(shù)據(jù)逃逸。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景 微隔離技術(shù)主要實(shí)現(xiàn)工作負(fù)載間的安全隔離，按邏輯將數(shù)據(jù)中心網(wǎng)絡(luò)劃分為不同安 遠(yuǎn)程瀏覽器隔離(RBI)是一種訪問會(huì)話隔離技術(shù)，將瀏覽器執(zhí)行從用戶設(shè)備轉(zhuǎn)移到云只3.動(dòng)態(tài)訪問控制 訪問控制是通過某種途徑顯式地準(zhǔn)許或限制主體對客體訪問能力及范圍的一種方基于角色的訪問控制(RBAC)和基于屬性的訪問控制(ABAC)，同時(shí)也存在兩者結(jié)合的授權(quán)方零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景問主體 信任評估引擎是零信任架構(gòu)中實(shí)現(xiàn)持續(xù)信任評估能力的核心組件，持續(xù)信任評估是圖5零信任動(dòng)態(tài)訪問控制的核心功能是對零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景為動(dòng)態(tài)訪問控制提供有效輸入；二是對訪問主體訪問上下文行為分析的評估，結(jié)合訪問 策略統(tǒng)一編排實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備內(nèi)部安全策略可視化編排和可視化監(jiān)控運(yùn)行，借助中其中，策略規(guī)則用于描述策略匹配的具體條件；策略優(yōu)先級用于定義策略執(zhí)行的先后順序；策略動(dòng)作標(biāo)識滿足策略規(guī)則之后所采取的動(dòng)作。通常，，濾策略等。通過策略鏈，安全運(yùn)維人員可更便捷地查看安全策略配置以及安全策略的執(zhí) 化響應(yīng)與處置零信任架構(gòu)下，基于風(fēng)險(xiǎn)驅(qū)動(dòng)和上下文感知的自動(dòng)化安全響應(yīng)能夠識別行為的不一零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景全響應(yīng)與處置。安全編排是將企業(yè)不同安全技術(shù)按照一定的邏輯關(guān)系組合到一起，以實(shí)現(xiàn)安全響應(yīng)與處置流程的自動(dòng)化，在此過程中，企業(yè)需要簡化安全堆棧，消除不必要與重復(fù) 可視化分析零信任架構(gòu)需要支持最新的外部合規(guī)審計(jì)要求，結(jié)合自身行業(yè)、業(yè)務(wù)特點(diǎn)制定信息安全管理體系，對用戶操作行為進(jìn)行審計(jì)，并將審計(jì)信息上傳至零信任控制中心，零信任控制中心通過對信息進(jìn)行統(tǒng)計(jì)分析，得出用戶安全訪問基線、設(shè)備安全訪問基線和服務(wù)間流量安全基線。零信任控制中心將監(jiān)視、記錄、關(guān)聯(lián)分析網(wǎng)絡(luò)中的每個(gè)活動(dòng)，對可疑行為展開時(shí)空線用戶異常訪問行為直觀展示，幫助安全運(yùn)營人員更直觀、全面地了解訪問主體的安全狀態(tài)零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南PARPART不同點(diǎn)和應(yīng)用場景，并對每種架構(gòu)的關(guān)鍵技術(shù)能力進(jìn)行分 1.NIST零信任架構(gòu) 以及組件關(guān)系(架構(gòu))，旨在消除在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確訪問決策的不確定性”。零境和網(wǎng)絡(luò)基礎(chǔ)設(shè)施等組件。傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全解決方案只關(guān)注外圍防御，導(dǎo)致對內(nèi)部用戶開放了過多的訪問權(quán)限，而零信任的主要目標(biāo)是提供基于身份的細(xì)粒度訪問控制，以應(yīng)對日益嚴(yán)峻的橫向移動(dòng)風(fēng)險(xiǎn)。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南圖6給出了NIST的零信任架構(gòu)示意圖，各邏輯組件使用獨(dú)立的控制層面進(jìn)行通信，應(yīng)用數(shù)據(jù)則在數(shù)據(jù)層面進(jìn)行通信。a)策略決策點(diǎn)(PDP)PAPE負(fù)責(zé)決定是否授予主體對資源(訪問客體)的訪問權(quán)限，使用來自外部信息源(例對該資源的訪問。PA根據(jù)PE的決策結(jié)果向PEP下達(dá)控制指令，建立和/或切斷主體與資源之間的訪b)策略執(zhí)行點(diǎn)(PEP)t除了企業(yè)中實(shí)現(xiàn)ZTA策略的核心組件之外，其它多個(gè)數(shù)據(jù)源也可以提供輸入和策略規(guī)則，以供策略引擎在做出訪問決策時(shí)使用。這些數(shù)據(jù)源包括本地?cái)?shù)據(jù)源和外部(即非企零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南a)持續(xù)診斷和緩解系統(tǒng)該系統(tǒng)收集關(guān)于企業(yè)資產(chǎn)當(dāng)前狀態(tài)的信息，并對配置和軟件組件應(yīng)用進(jìn)行更新。企業(yè)CDM序是否打過補(bǔ)丁、企業(yè)準(zhǔn)入軟件/組件的完整性狀態(tài)、是否存在已知漏洞或未經(jīng)批準(zhǔn)的組CDM該系統(tǒng)確保企業(yè)遵守相關(guān)監(jiān)管制度(如醫(yī)療或金融行業(yè)信息安全要求HIPAA、擎做出訪問決策。一組與企業(yè)數(shù)據(jù)資源訪問相關(guān)的屬性、規(guī)則和策略集合。這些策略是授予對資源訪問權(quán)限的規(guī)則條件，為企業(yè)中的參與者和應(yīng)用/服務(wù)提供了基本的訪問特權(quán)。e施此系統(tǒng)負(fù)責(zé)生成和簽發(fā)由資源、主體、服務(wù)和應(yīng)用程序使用的數(shù)字證書，并將其記錄該系統(tǒng)負(fù)責(zé)創(chuàng)建、存儲(chǔ)和管理企業(yè)用戶賬戶和身份記錄，包含必要的用戶信息(如姓g)安全信息和事件管理系統(tǒng)(SIEM)該系統(tǒng)聚合系統(tǒng)日志、網(wǎng)絡(luò)流量、資源授權(quán)等事件信息，以供策略優(yōu)化和潛在威脅的零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南 等信息，保證用戶的身份可信；持續(xù)診斷和緩解系統(tǒng)、數(shù)據(jù)訪問策略負(fù)責(zé)收集關(guān)于企業(yè)資產(chǎn)當(dāng)前狀態(tài)的信息，并對配置和軟件組件應(yīng)用進(jìn)行更新，威脅情報(bào)源、安全信息和事件管理系統(tǒng)負(fù)責(zé)收集各類威脅數(shù)據(jù)和安全事件數(shù)據(jù)，保證設(shè)備和環(huán)境可信。態(tài)訪問控制技術(shù)方面，NIST架構(gòu)中的PEP將訪問主體和訪問客體分隔。作為訪問主體側(cè)的用戶想獲取作為訪問客體的數(shù)據(jù)資源，必須通過PEP進(jìn)入。零信任要求對用戶的當(dāng)上述輸入的數(shù)據(jù)產(chǎn)生變化時(shí)，評估結(jié)果隨之變化，PE將新的評估全事件。2.CSA軟件定義邊界架構(gòu) 機(jī)和接受主機(jī)。圖7CSASDP架構(gòu)零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南S主機(jī)可以細(xì)分為兩類：發(fā)起主機(jī)或接受主機(jī)。發(fā)起主機(jī)(IH)與控制器通信以請求它們可 SDP夠?qū)崿F(xiàn)基于用戶自定義控制的網(wǎng)絡(luò)微隔離。通過SDP夠抵御基于網(wǎng)絡(luò)的攻擊，并通過動(dòng)態(tài)創(chuàng)建和刪除訪問規(guī)則(出站和入站)來啟用對受保護(hù)H零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南訪問的執(zhí)行情況，并把這些日志上報(bào)給SDP控制器。一方面SDP控制器將對日志分析結(jié) 1.谷歌BeyondCorp項(xiàng)目 能證、授權(quán)和加密。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南BeyondCorp員工訪問控制引擎是集中化策略編排和下發(fā)的核心組件，用來確保網(wǎng)關(guān)正確地實(shí)施安全評估引擎是一個(gè)持續(xù)分析、評估設(shè)備安全狀態(tài)的系統(tǒng)。系統(tǒng)設(shè)置設(shè)備可訪問的最大信任層或更新失敗會(huì)觸發(fā)重新評估。源(如SSH服務(wù)、Web代理、802.1x網(wǎng)絡(luò))，網(wǎng)關(guān)提供授權(quán)(如分配最低信任層、分配資源都與訪問所需的最低信任級別相關(guān)聯(lián)。 零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南HR系統(tǒng)將需要訪問企業(yè)網(wǎng)絡(luò)和應(yīng)用的用戶的所有相關(guān)信息都提供給BeyondCorp。在動(dòng)態(tài)訪問控制方面，訪問代理中的訪問控制引擎，基于每個(gè)訪問請求，為企業(yè)應(yīng)用提供服務(wù)級的細(xì)粒度授權(quán)。授權(quán)判定基于用戶、用戶所屬的群組、設(shè)備證書以及設(shè)備清單的設(shè)備屬性進(jìn)行綜合計(jì)算，動(dòng)態(tài)決策每個(gè)訪問的權(quán)限。在終端的網(wǎng)絡(luò)隔離方面，BeyondCorp項(xiàng)目將所有辦公設(shè)備默認(rèn)分配到一個(gè)無特權(quán)網(wǎng)絡(luò)中，避免直接接入內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)，并在內(nèi)網(wǎng)中構(gòu)建了一個(gè)與外網(wǎng)環(huán)境類似、且只能訪問無特權(quán)網(wǎng)絡(luò)和谷歌網(wǎng)絡(luò)的其他部分之間由嚴(yán)格管理的ACL(訪問控制列表)進(jìn)行控制。 SaaS原生安全控制、物聯(lián)網(wǎng)與運(yùn)營管理，信息保護(hù)等功能上進(jìn)行細(xì)化和落地。該架構(gòu)在假定出現(xiàn)了信息泄露的情況下，對所有訪問請求進(jìn)行驗(yàn)證，無論該請求出自何處、要訪問什么資源，以保護(hù)位于任何位置的微軟零信任安全架構(gòu)的核心是安全策略的統(tǒng)一部署執(zhí)行，安全策略引擎提供實(shí)時(shí)的策略評估與決策。該引擎通過對身份、設(shè)備、組織策略和威脅情報(bào)的分析綜合決策訪問的設(shè)備的安全性。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南圖9微軟零信任架構(gòu)示意圖 從可信身份與認(rèn)證技術(shù)方面來看，在微軟零信任架構(gòu)下，用戶若想要訪問到目標(biāo)資源，首先要收集身份、設(shè)備的安全態(tài)勢信息(風(fēng)險(xiǎn)判定)。身份信息方面，通過AzureAD監(jiān)控和分析網(wǎng)絡(luò)中的用戶活動(dòng)和信息。使用基于非對稱密鑰的用戶身份驗(yàn)證(無密碼方P零全面建設(shè)零信任實(shí)施指南據(jù)到進(jìn)行SIEM的分析是不夠的，因?yàn)椴杉臄?shù)據(jù)缺少檢測、缺少一致性的語言定義。為 1.遠(yuǎn)程辦公場景N圖10零信任遠(yuǎn)程辦公場景零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南基于SDP的零信任解決方案可以更好解決遠(yuǎn)程辦公場景下的安全問題，一是基于方面，通過多因子認(rèn)證、社交化賬號接入和設(shè)備清單關(guān)聯(lián)，確保只有身份可信的用戶使用清單內(nèi)的設(shè)備才能訪問。APP等多種訪問方式；另一方面，可為管理員提供多維度的用戶行為分析和應(yīng)用訪2.數(shù)據(jù)防護(hù)場景由邏零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南圖11數(shù)據(jù)安全場景任在終端數(shù)據(jù)安全方面的能力，另一方面和零信任的自適應(yīng)動(dòng)態(tài)策略和細(xì)粒度權(quán)限管控零信任策略中心可以集成多安全產(chǎn)品，提供完整的用戶行為審計(jì)和終端安全分析，通過零信任自適應(yīng)動(dòng)態(tài)策略管控和安全工作空間終端數(shù)據(jù)安全的融據(jù)在加密隧道應(yīng)最小權(quán)限數(shù)據(jù)管控。零信任關(guān)鍵技術(shù)白皮書結(jié)束語PAPART零信任理念從提出至今，歷時(shí)十八載(2004年開始)?從早期耶利哥論壇對企業(yè)“去邊界化”網(wǎng)絡(luò)安全解決方案的探索，到2010年零信任概念(ZeroTrust)正式提出，到基于零信任理念的企業(yè)安全架構(gòu)