当前位置：首页 > news >正文

深度解读零信任身份安全—— 全面身份化：零信任安全的基石

news 2025/9/17 7:11:00

事实上，无论是零信任安全在数据中心的实践，还是通用的零信任安全架构实践，全面身份化都是至关重要的，是“企业边界正在瓦解，基于边界的安全防护体系正在失效”这一大背景下，构筑全新的零信任身份安全架构的基石。

本文将对“全面身份化”的必要性和范畴进行分析，并基于Evan的演讲内容，整理、分享全面身份化在零信任数据中心网络的实践。

零信任安全的本质是以身份为中心进行动态访问控制.
要理解零信任安全架构下“全面身份化”的必要性，首先需要理解零信任安全是什么？其本质是以身份为中心的动态访问控制。

传统的基于边界的网络安全架构某种程度上假设、或默认了内网是安全的，认为安全就是构筑企业的数字护城河，通过防火墙、WAF、IPS等边界安全产品/方案对企业网络出口进行重重防护而忽略企业内网的安全。

在“企业边界正在瓦解，基于边界的安全防护体系正在失效”这一大背景下，零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议，其核心思想是：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行访问控制。

从技术方案层面来看，零信任安全是借助现代身份管理平台实现对人/设备/系统的全面、动态、智能的访问控制，其核心实践包括：

以身份为中心

通过身份治理平台实现设备、用户、应用等实体的全面身份化，采用设备认证和用户认证两大关键技术手段，从0开始构筑基于身份的信任体系，建立企业全新的身份边界。

业务安全访问

所有的业务都隐藏在零信任可信接入网关之后，只有认证通过的设备和用户，并且具备足够的权限才能访问业务。

动态访问控制

访问控制需要符合最小权限原则进行细粒度授权，基于尽量多的属性进行信任和风险度量，实现动态自适应访问控制。

不难看出，以身份为中心实现设备、用户、应用、系统的全面身份化是零信任安全的根基，缺少了这个根基，动态访问控制将成为无源之水无本之木。

“全面身份化”是零信任安全动态访问控制的基石

传统语境下，身份更多的是“人”的专属术语，是物理世界的人在数字世界的对等物，甚至多数情况下大家将身份等同于应用系统的账号。这不难理解，毕竟在传统的信息系统和网络世界中，人、机是主要的参与实体，机器大多可以通过机器名、网络地址等进行标识，而为了实现记账和访问控制等功能，人也需要一个标识，那就自然而然的为每一个人在系统中创建一个账号，并将这个账号等同于数字身份。

随着如今IT技术的飞速发展，这个狭义的身份范畴已经跟不上时代了，至少包括如下两个方面：

身份的实体范畴不仅仅是人

在万物互联的时代，物已经成为了重要的参与实体，其基数已经远远超出了人。因此，仅仅为人创建身份是远远不够的，正如Gartner所建议的，需要建立全面的“实体”身份空间，这些“实体”包括：人、服务、设备等等。通过全面的身份化，实现对网络参与的各个实体在统一的框架下进行全生命周期管理。

身份不等同于账号

虽然在一个单一的业务系统内，身份和账号存在某种一对一的关系，但是，身份并不等同于账号。一个身份在不同的业务系统内存在不同的账号，身份是唯一的，账号不是唯一的。随着云计算、移动计算的发展，应用越来越碎片化，一个实体的人/数字化的身份对应的账号越来越多，理解身份和账号的差异至关重要。

简单下个定义：身份是物理世界的人/物/系统等实体在数字世界的唯一标识，是物理世界的实体在数字世界的对等物。

事实上，在现代身份治理框架下，核心逻辑之一就是关注身份、账号、权限三个平面及其映射关系：为物理世界的人/物创建数字身份并关联对应的身份生命周期管理流程、梳理关联各业务系统账号和身份的属主关系、控制各个账号的权限分派实现基础授权。如下图所示：

另外，为了实现闭环的全面身份化治理，需要部署智能身份分析系统，对当前系统的权限、策略、角色进行智能分析，发现潜在的策略违规并触发工作流引擎进行自动、或人工干预的策略调整，实现治理闭环。

如上，在零信任安全语境下，身份是为访问控制服务的。因此，需要对参与访问控制的各主体、客体进行全面的身份化，包括：用户、设备、应用和接口等都需要具备唯一的数字身份。

Evan Gilman最新的研究方向就是工作负载的身份化，其目的就是为了基于零信任理念，解决工作负载之间的访问控制问题，建立零信任数据中心网络，是全面身份化在数据中心网络场景的创新实践。

深度解读零信任身份安全—— 全面身份化：零信任安全的基石

相关文章：

深度解读零信任身份安全—— 全面身份化：零信任安全的基石

音视频 ffmpeg命令提取音视频数据

vscode 配置

企业数字化管控平台及信息化治理体系建设方案（附300份方案）

ABB PCD231B通信输入/输出模块

在springboot项目中显示Services面板的方法

spring之AOP简介

ros::init用途用法

逻辑回归的含义

解决Apache Tomcat “Request header is too large“ 异常 ‍

腾讯音乐如何基于大模型 + OLAP 构建智能数据服务平台

Java 16进制字符串转换成GBK字符串

【ES6】JavaScript中的Symbol

理解React页面渲染原理，如何优化React性能？

数据通信——传输层TCP（可靠传输机制的滑动窗口）

Mycat之前世今生

Linux- 重定向标准输出（stdout）和标准错误（stderr）

PostgreSQL分区表

android framework之Applicataion启动流程分析（二）

django静态文件无法访问解决方案

变量 varablie 声明- Rust 变量 let mut 声明与 C/C++ 变量声明对比分析

多模态2025：技术路线“神仙打架”，视频生成冲上云霄

stm32G473的flash模式是单bank还是双bank？

【OSG学习笔记】Day 18: 碰撞检测与物理交互

k8s从入门到放弃之Ingress七层负载

通过Wrangler CLI在worker中创建数据库和表

STM32标准库-DMA直接存储器存取

【git】把本地更改提交远程新分支feature_g

【学习笔记】深入理解Java虚拟机学习笔记——第4章虚拟机性能监控，故障处理工具

【JavaWeb】Docker项目部署