讲零信任框架的，挺好的一篇文章，分享给大家~~~~~~~~~

背景介绍 零信任安全架构探索 零信任安全架构实践

数字化转型浪潮下，企业传统安全架构面临挑战。一是上云、 应用架构升级等技术转型带来新的安全风险;二是工作空间 和供应链协同的数字化引入更多的安全隐患;三是新零售、 物联网等产品服务创新面临多样的安全威胁 零信任安全理念打破了网络位置和信任间的默认关系，能够 最大限度保证资源被可信访问，提升企业数字化转型中新 IT架构的安全性，基本原则包括:默认一切参与因素不受信，最小权限原则，动态访问控制和授权，持续的安全防护。

随着云计算、大数据等技术在企业大规模的推广使用，持续集成持续部署的业务交付模式以及移动办公的接入方式深刻地影响了信息安全建设思路，如何能够更动态更智能更安全地保护企业的数字资产的同时不损失效率和体验？Google分享的零信任安全架构实践的相关论文给我们提供了一个非常好的思路，事实上，全面身份化即对网络参与的各个实体（人、服务、设备等）在统一的框架下进行全生命周期管理，而构筑全新的身份安全体系是零信任安全架构的基石。分布式设计模式和实践（如微服务，容器编排和云计算）已经让我们的生产环境变得越来越动态和异构，我们认为传统的安全实践（例如仅仅基于四层网络控制策略的访问控制）在这种复杂性下难以扩展，急需一套全新的IAM（身份和访问控制管理）框架。而云IAM就是能够支持在万物互联背景下的全面身份化以及多租户、多帐号体系、多用户渠道、云原生支持等特性的一整套解决方案，这对于将安全防护从网络层访问控制升级到应用层动态访问控制起到至关重要的作用，也将有效助力零信任安全架构的建设。下文将重点讲述我们对云IAM的理解、方案设计以及部分重点模块的解析。

零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制” 四大关键能力，构筑以身份为基石的动态虚拟边界产品与解决方案，助力企业实现全面身份 化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。 本文首先对零信任安全的背景、定义及发展历史进行介绍，然后提出一种通用的零信任 参考架构，并以奇安信零信任安全解决方案为例，对零信任参考架构的应用方案进行解读。

BeyondCorp实际上是抛弃了对本地内网的信任，进而提出了一个新的方案，取代基于网络边界构筑安全体系的传统做法。在这个新方案中，Google对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权。Google公司BeyondCorp项目迁移部署过程，整个工作大概分为这六个部分，包括认同与沟通，项目团队组建，切确定迁移策略，业务和访问数据的收集，自动化迁移以及特殊用户场景的处理。因为整个迁移部署过程是迭代、增量和不断优化调整的过程。下面我们对于这六大部分逐一来看。