零信任架构三大核心技术

零信任架构的三大核心技术分别是身份与访问管理、软件定义边界和微隔离，它们从不同层面保障网络安全，下面为你详细介绍。

一、身份与访问管理（IAM，Identity and Access Management）

1、核心概念与原理：身份与访问管理是零信任架构的基础，其核心在于精确管理主体对客体的访问关系授权。它源于身份安全领域的 4A 理论，涵盖账号（Account）、认证（Authentication）、授权（Authorization）、审计（Audit）这四个关键维度 。通过对身份的全生命周期管理，解决 “谁” 能访问 “什么” 信息的问题。例如，在企业办公系统中，员工作为主体，需要访问企业的各类文件、数据库等客体资源，身份与访问管理系统会对员工的账号进行认证，确认其身份的真实性，再根据员工的工作岗位和职责，授予相应的文件读取、编辑或数据库查询、修改等权限 。
2、关键技术点：
（1） 单点登录（SSO，Single Sign On）：将所有访问路径集中到一点进行管理 。用户只需登录一次，就可以访问多个相互信任的应用系统，无需在每个应用系统中重复登录 。比如，在一个集成了多个业务系统的企业平台中，员工通过单点登录系统，一次输入账号密码，即可访问邮件系统、项目管理系统、财务系统等多个内部应用，大大提高了工作效率，同时也便于企业对用户访问进行统一管理和监控 。
（2） 多因素认证（MFA，Multi - Factor Authentication）：运用 “认证三层次” 中的至少两个层次进行交叉验证 。认证层次包括你所知道的（如口令或密码）、你所拥有的（如密码本、密码卡、动态口令、USB Key、数字证书等）以及你自身带来的（如指纹、虹膜、语音等生物特征） 。以网上银行登录为例，用户不仅需要输入账号密码（你所知道的），还可能需要通过手机接收动态验证码（你所拥有的），甚至进行指纹识别（你自身带来的），通过多因素的交叉验证，极大地增强了身份认证的安全性，有效防止账号被盗用 。
3、功能与交付形态：为支持零信任架构，IAM 类产品需具备统一身份管理、统一身份认证、统一访问授权、统一行为审计、多因素认证、动态访问控制、风险识别等七大功能 。同时，IAM 类产品有软件化交付、云化交付（IDaaS，Identity as a Service）和本地化交付（CIAM，Customer IAM）三种交付形态，企业可根据自身的业务需求、技术架构和安全要求，选择合适的交付方式 。

二、软件定义边界（SDP，Software Defined Perimeters）

1、体系结构与作用：软件定义边界本质上是一种高安全性的访问控制技术，其体系结构由 SDP 主机和 SDP 控制器两部分组成 。SDP 主机负责发起连接或接受连接，主要用于解决业务隐藏问题，保护企业内部资源不被未经授权的外部访问所发现和攻击 。例如，企业的核心业务服务器通过 SDP 技术隐藏在网络背后，外部用户无法直接访问，只有通过 SDP 控制器认证和授权的合法用户和设备，才能建立与 SDP 主机的连接，进而访问业务资源 。
2、核心技术：
（1） 单包授权（SPA，Single Packet Authorization）：该技术用于弥补 TCP/IP 协议开放和不安全的特性 。传统的 TCP/IP 协议在建立连接时，容易被攻击者利用进行端口扫描、漏洞探测等攻击行为 。而 SPA 技术在客户端向服务器发送连接请求时，服务器不会立即响应，而是先对客户端发送的第一个数据包进行授权验证，只有验证通过后才会建立连接，有效防止了非法的连接尝试和端口扫描攻击 。
（2） 双向 TLS（mTLS，Mutual Transport Layer Security）：在进行进一步用户与设备身份验证之前，通过双向身份认证，确保所有主机之间的连接使用带有身份验证的 TLS 或网络密钥交换（IKE，Internet Key Exchange），将设备验证为 SDP 的授权设备 。比如在企业内部网络中，不同服务器之间通过 mTLS 进行通信，双方都需要验证对方的数字证书，确保通信双方的身份合法，从而保证数据传输的安全性和完整性 。

三、微隔离（MSG，Micro - Segmentation）

1、概念与原理：微隔离又称微分段，最早由 Gartner 提出，是指用软件的方式将数据中心划分为不同的安全段，极端情况下可为每一台服务器分配一个安全段，实现端到端隔离 。其目的是防止攻击者在网络内部进行横向移动，即使攻击者突破了某一安全段，也无法轻易访问其他安全段的资源 。例如，在一个大型数据中心中，将不同业务的服务器划分到不同的微隔离安全段，财务业务服务器所在的安全段与研发业务服务器所在的安全段相互隔离，即使财务服务器被攻击，攻击者也难以直接访问研发服务器上的代码和数据 。
2、技术实现路线：Gartner 定义了微隔离的四种技术实现路线 。
（1） 云自身控制（Native Cloud Control）：云厂商在 IaaS 层上进行控制 。云服务提供商在基础设施即服务（IaaS）层面，对云环境中的资源进行微隔离控制，用户可以利用云平台提供的工具和接口，对自己在云中的虚拟机、容器等资源进行安全段划分和访问控制 。
（2） 第三方防火墙（Third - Party Firewall）：利用虚拟化防火墙或网元防火墙（NFV）进行控制 。企业可以在网络中部署第三方的防火墙产品，对不同安全段之间的网络流量进行过滤和控制，根据预设的安全策略，允许或阻止特定的网络连接和数据传输 。
（3） 代理（Overlay）模式：类似于终端安全管理软件，在每台主机里安装主机防火墙客户端，然后用控制台进行统一管理 。通过在每台主机上安装代理程序，实现对主机自身的网络访问进行控制，同时控制台可以集中管理和监控所有主机的安全状态和访问策略 。
（4） 混合（Hybrid）模式：是以上模式的组合 。企业可以根据自身的网络架构和安全需求，灵活选择多种实现路线的组合，以达到最佳的微隔离效果 。

拓展阅读

1. 什么是零信任架构中的 “最小特权访问” 原则？：最小特权访问原则要求用户和设备仅被授予完成任务所需的最低权限，以降低因权限滥用导致的安全风险，减少潜在攻击面。
2. IAM 中的动态访问控制是如何实现的？：通过实时分析用户行为、设备状态、网络环境等多维度数据，结合预设的风险模型和策略，动态调整用户的访问权限，当检测到异常行为时，及时限制或撤销用户的访问权限。
3. SDP 与传统防火墙有什么区别？：传统防火墙基于网络边界进行防护，默认内部网络安全；SDP 则隐藏业务资源，对每个访问请求进行严格身份验证和授权，不依赖网络边界，更适应复杂多变的网络环境，能有效防止外部和内部的非法访问 。