我们都听说过“零信任安全”，但未必确切地知道应该如何实施，其中部分原因在于这个名称。零信任听起来很不错，但将此概念付诸实施简直是不可能的。如果用户们根本不信任任何系统、用户、设备、应用或是过程，企业将无法运转。

零信任的一种准确的名称可能是高度颗粒化和分布式的信任。也就是说，零信任背后的概念其实是分布式信任的高度颗粒化的控制。A设备和B设备之间的会话可能是被允许的，但并非所有的会话都是允许的，或者说并非设备A和B之间的所有会话类型都可信。

高度颗粒化和分布式信任这两个概念形成了零信任安全的两个关键要素。零信任依赖并要求对系统和数据的深入理解，因而IT才能围绕系统、过程、应用和无处不在的用户部署有意义的边界。

因而，零信任安全要求IT彻底地重新思考网络，其中包括传统和独立的路由器、防火墙、分布式拒绝服务攻击防御系统、网络分段产品及所有其他网络元素的角色。安全功能正日益被虚拟化和模块化为虚拟设备和虚拟化的网络功能，并且能够在必要时在企业整个基础架构中实施。

零信任还将安全的自动化置于“安全运维”的中心地位，并且拥有自动化的所有好处：可靠性、灵活性、可扩展性。

实用举措

网络安全专业人士如何将高度颗粒化和分布式信任、重新思考网络设计、实施自动化等转变为实用的措施呢？

首先需要做的是虚拟化。计算和应用程序的虚拟化相对成熟。多数企业已经朝着虚拟化服务器迈进，并且很多企业已经实施了一种基于微服务和容器的软件开发模式。所以，在计算和应用层实施零信任要从将颗粒化和分布式安全提交给虚拟机、微服务、容器开始。

很多厂商的工具可以提供基于容器的安全，还有的工具可协助实现微服务安全。但是，网络基础设施的成熟度却低得多。很多企业仍通过物理设备的组合（交换机、路由器、防火墙、负载均衡器、网关等设备）来构建网络。

在一个网络基础架构内部实施零信任安全的一个关键步骤就是虚拟化迁移。在数据中心和WAN内部实施SDN提供了必要的平台，可以将网络和网络安全功能实例变为虚拟机而非物理设备。例如，防火墙可能成为一体化SD-WAN设备中的防火墙虚拟机。这又使功能的自动化和颗粒化控制成为可能。

达到零信任

很多传统的安全和网络厂商及新兴厂商都提供这些类型的虚拟化产品，提供对个别会话的颗粒化控制，并且能够对网络许可提供动态的重新配置。对于企业来说，重新关注传统的和新兴的厂商，评估其虚拟化的程度是非常值得的。

在选择工具时，非常重要的一点是要考虑集中化的策略。有些厂商正开始在网络策略引擎方面发挥作用，为合作伙伴的一系列能够实施集中化策略的技术提供支持。不管企业希望哪个厂商成为策略引擎，非常关键的问题是，要考虑拥有一种集中化的策略仓库，企业可以做出能够波及到整个基础架构的变化。

即使零信任安全并不是其名称所暗示的那样，它也将最终改变一切。而且，在实施零信任安全时，网络的基础架构是最薄弱的环节，所以企业应特别关注对企业网络的基础架构实施虚拟化，并保障其安全。