在网络安全建设中，零信任网络的概念被越来越多的提及。对于刚开始接触零信任的网络安全从业者来说，在众多零信任宣传资料，以及厂商的讲解中，想要了解零信任网络真正的价值，以及如何去建设，需要收集大量的资料研究分析，还需要从一众“广告宣传语”中找到自己想要的东西。本文将通过一篇文章，为初次接触零信任的网络安全从业者，了解零信任网络，如何去建设零信任网络而编写。

适合阅读本文的读者：

• 希望了解零信任网络的诞生、意义和价值，快速掌握一个知识点。
• 开始建设零信任网络甲方单位，方案设计、产品选型等，想了解需要考虑哪些因素。
• 零信任的设备、服务厂商，想了解甲方用户的需求痛点，针对性进行方案设计。

一、 历史回顾

一句话先了解一下零信任网络，零信任网络通俗点说，就是之前的网络分内网外网，内网默认权限比较高，外网默认权限比较低，零信任网络认为：不应该根据物理环境来确定访问权限，而是应该由身份认证来确定访问权限，不管是在内网还是外网。所有的零信任网络安全架构，都是基于这一核心因素来设计的。

在2010年之前，上网终端基本都是电脑终端，有着明确的物理环境因素，在公司是通过内网访问，在外面时通过外网访问。设计网络架构的时候，一般都分为内网、外网、DMZ区域。2010年之后，随着云计算、物联网、移动网络的兴起，接入网络的方式有了很大的改变，同时，网络渗透攻击技术也在不断的升级，近源攻击、水坑钓鱼等技术，让“内网”也不再安全。除了需求推动之外，IAM技术、远程连接技术、微隔离技术的发展，也为零信任网络提供了技术推动的因素，于是，零信任网络技术开始了高速的发展和应用。

图1 零信任发展历程

二、 五种模型

一般和厂商交流零信任的时候，厂商都会介绍自家产品的设计理念是基于什么模型，例如：现在国内主流的零信任厂商很多都是SDP。那么，零信任总共有多少种模型，区别又分别是什么呢：

谷歌的BeyondCORP模型

强调设备和用户身份优先于网络位置。这种零信任模型确保每个访问网络的设备都经过身份验证和授权。该模型强调安全团队与业务部门之间的协作，以确保组织内的策略一致。

云安全联盟SDP模型

是一种基于零信任原则的安全架构。该模型通过隔离应用程序和数据，将通信限制在具有完全访问权限的设备之间。这种方法可以减少攻击面并提高网络性能。

Forrester 的 Zero Trust eXtended模型

是一种安全框架，促进基于不断演变的威胁环境的自适应安全。该模型强调安全的分层方法，重点是预防、检测和应对能力。重点是从基础构建安全并将其融入组织的每个方面。

美国国家标准与技术研究院（NIST）零信任架构（ZTA）模型