零信任理念由什么组成？如何用蒲公英实现零信任安全？

零信任早已取代防火墙，成为近些年来非常火爆的安全模式。它提出了一种全新的概念，区别于防火墙能提供的物理边界，零信任能应用在各种完善的安全架构中，开创出一种全新的安全模式，可以阻隔潜在的风险因素，提高安全性。下文中详细介绍了零信任的知识，还有如何用蒲公英实现零信任安全？

？零信任是什么？

零信任既不是技术也不是产品，而是一种安全理念。根据NIST《零信任架构标准》中的定义：
零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）则是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。

零信任理念由7个原则组成：

1、所有数据源和计算服务都被视为资源。
2、无论网络位置如何，所有通信必须是安全的。
3、 对企业资源的访问授权是基于每个连接的。
4、 对资源的访问由动态策略（包括客户端身份、应用和被请求资产等的可观测状态）决定，并可能包括其他行为属性。
5、 企业确保其掌握和关联的所有设备都处于尽可能的最安全状态，并监控设备资产以确保它们保持在尽可能的最安全状态。
6、 在访问被允许之前，所有资源访问的身份验证和授权是动态的和严格强制实施的。
7、 企业收集尽可能多关于网络基础设施当前状态的信息，并用于改善其安全态势。
此外，零信任理念还包含5个假设
在企业自有的网络上的假设：
1)整个企业专业网络不被视为隐式信任区域。
2)网络上的设备可能不可由企业拥有或配置。
3)任何资源本质上都不受信任。
在非企业自有的网络上的假设：
1)并非所有企业资源都在企业拥有的基础结构上。
2)远程企业用户无法完全信任本地网络连接。

如何用蒲公英实现零信任安全？

在零信任环境中，所有通信都被视为不信任，除非这种信任关系能够得到证明，而且这种证明也必须是多方面的证明，终端层面要实时监测主机状态，包括主机入侵检测，主机防护响应任务调度，主机环境陷阱设置，主机杀毒以及主机基线等情况。身份层面通常利用双因素认证或多因素认证的加强，通过短信、指纹、令牌多种认证方式建立一个多层次的身份验证层面的防御，人员在经过认证之后才能实现对应用层面访问。

针对越来越广泛的“零信任”网络安全策略需求，贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案。
蒲公英零信任架构主要通过对访问身份权限的动态管控，对访问成员持续进行信任评估和动态的访问控制，最终实现业务安全访问。
自定义访问策略
组网内成员的访问权限、访问内容、访问时间均可进行自定义设置，满足用户多场景使用，通过策略控制保障组网内资源访问安全。
多因子账号安全
对访问身份权限进行持续信任评估，除基础的账号身份认证后，增加手机、邮箱OTP认证以及动态令牌MFA认证；根据用户常用使用习惯制定不同等级的安全认证，帮助组网成员接入身份安全。
蒲公英路由器中也包含了零信任模式，用户能根据自己的使用需求选择开启或关闭，开启零信任模式后，用户能自行设置信任关系，定义访问成员的权限，在不同场景下开启不同的安全模式，让工作和生活都能得到有效的安全保障。