零信任原则(Zero Trust principles)

-零信任概念的演变
防火墙区域是由物理网路边界隔离的网段。这是传统的城堡和护城河安全。区域是特定的网路位置。DMZ 也是如此。但是，零信任不依赖网路位置来实施安全性。由於零信任中的网路位置，没有固有的信任。零信任架构使用微分段技术通过逻辑或软件定义的边界隔离数据方面的资源。
NIST 零信任原则（NIST Tenents of Zero Trust）

1. 所有数据源和计算服务都被视为资源
2. 无论网路位置如何，所有通信都是安全的。
3. 基於每个会话授予对单个企业资源的存取权限。
4. 对资源的存取由动态策略决定——包括客户端身份、应用程序/服务和请求资产的可观察状态——并且可能包括其他行为和环境属性。
5. 企业监控和衡量所有自有资产和相关资产的完整性和安全状况。没有资产本质上是可信的。
6. 所有资源认证和授权都是动态的，并且在允许存取之前严格执行。
7. 企业收集尽可能多的资讯有关的资产，网路基础设施和通信，并使用它的当前状态，以提高其安全状况越好。
   
   -零信任作为存取控制 2.0（Zero Trust as Access Control 2.0）
   
   -零信任作为存取控制 2.0 -零信任网路安全范式

参考
. NIST SP 800-207
. 软件定义的边界
. 敲端口

资料来源： Wentz Wu QOTD-20210806
My Blog: https://choson.lifenet.com.tw/