如何实施零信任：7 个专家步骤

零信任不仅关乎用户访问资源的方式，更是一种网络安全模型。成功实施需要时间投入、坚定承诺和持续支持。

零信任本质解析

零信任并非单一技术或控制措施，而是将最小权限原则提升到新高度：

• 摒弃"信任一切"模式，转向"持续验证"机制

• 无论内外网环境，所有用户访问均需严格认证授权

• 需在安全性与可用性间取得平衡

零信任实施路线图

1. 组建专业团队

• 成立专项小组负责迁移工作

• 成员需覆盖应用/数据/网络/基础设施等多领域安全专家

• 开展零信任原理与实施方法培训

2. 全面资产盘点

• 建立包含数据/设备/服务/应用的完整清单

• 记录资产关键属性：

• 重要性等级

• 地理位置与责任人

• 合法访问主体

• 访问敏感程度（如大额转账与报销申请区别）

3. 差距分析

• 明确企业零信任目标

• 采用威胁建模等技术识别现有弱点

• 设计符合业务风险特征的信任验证方案

4. 架构选择

NIST 定义四种主流架构：

5. 实施规划要点

• 预计 3 年以上实施周期

• 身份验证基础设施升级

• 日志分析系统扩容

• 默认拒绝策略开发

• 遗留系统兼容方案

6. 渐进式部署

• 优先部署 SSO 等用户体验提升措施

• 通过技术团队试点验证方案可行性

• 建立持续优化机制

7. 持续运营

• 定期更新访问策略

• 将新资产纳入管控体系

• 监控技术组件有效性

Akamai 实施案例

云计算提供商 Akamai 在 2009 年遭遇攻击后启动零信任改造：

1. 初期尝试网络微隔离遭遇应用间通信挑战

2. 转而聚焦应用层防护，采用 CDN+SSO 架构

3. 通过 Soha Systems 技术实现：

4. 基于角色的精细访问控制

5. 无需 VPN 的浏览器访问

6. 凭证泄露时的攻击面限制

7. 最终将方案产品化为 Enterprise Application Access 服务

"这是个循序渐进的过程，"前 CSO Andy Ellis 强调，"完成时你会发现整个业务模式都已转型。"更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手