零信任安全（Zero Trust）是在2010年由咨询公司Forrester的分析师约翰·金德维格提出的安全理念，其本质是以身份为基石的动态访问控制，即以身份为基础，通过动态访问控制技术，以细粒度的应用、接口、数据为核心保护对象，遵循最小权限原则，构筑端到端的身份边界。

        对于零信任安全理念来说，2017年是个分水岭，在2017年Google基于零信任安全的BeyondCorp项目取得成功，验证了零信任安全在大型网络场景下的可行性，业界也开始跟进和开展零信任安全实践。

一、 零信任安全的三大技术SIM

S：SDP（Software Defined Perimeter，软件定义边界）

I：IAM（Identity and Access Management，身份管理系统）

M：MSG（Micro-Segmenetation，微隔离）

二、零信任安全原则

1.    持续监控和验证

零信任网络背后的理念是假设网络内部和外部都有攻击者，所以没有用户或机器应该被自动信任。零信任验证用户身份和权限，以及设备身份和安全。在登录和建立连接后，经过一段时间就会超时，迫使用户和设备不断重新验证。

2.    最低权限

       零信任安全的另一原则是最低权限访问。也就是说，仅向用户授予必要的访问权限，就像军队中的将领仅在必要之时将信息告知士兵一样。这样能最大程度减少各个用户接触网络敏感部分的机会。实施最低权限涉及谨慎管理用户权限。VPN 不太适合用于最低权限的授权方式，因为登录 VPN 后，用户可以访问连接的整个网络。

3.    设备访问控制

       除了用户访问控制外，零信任还要求对设备访问进行严格控制。零信任系统需要监控有多少不同的设备在尝试访问他们的网络，确保每个设备都得到授权，并评估所有设备以确保它们没有被入侵。这进一步减少了网络的攻击面。

4.    微分段