Trace Id is missing
跳转至主内容
Microsoft 安全

什么是零信任体系结构?

零信任体系结构通过身份验证保护组织的每个资源,而不仅仅是保护对公司网络的访问。

详细了解零信任

零信任体系结构的工作原理?

要了解零信任体系结构,首先要思考传统的安全体系结构:有人在工作中签到后,就可以访问整个企业网络。这只能保护组织的边界,并与实际办公场所相关联。这种模型不支持远程工作,并使组织面临风险,因为如果有人窃取了密码,他们将可以访问所有内容。

零信任体系结构不仅保护组织的边界,还会验证每个标识和设备,以保护每个文件、电子邮件和网络。(这就是为什么它也被称为“无边界安全”。)零信任体系结构不仅可以保护一个网络,还有助于保护远程访问、个人设备和第三方应用。

零信任的原则是:

  • 进行显式验证

    在验证某人的访问权限之前,考虑每个数据点,包括他们的标识、位置和设备,以及资源的分类方式和是否有任何可能表示危险信号的异常情况。

  • 使用最少特权访问

    限制人们可以访问某些内容的信息量和时间长度,而不是无限期地提供对所有公司资源的访问。

  • 假定泄露

    对网络进行分段,确保在有人确实获得了未经授权的访问权限时可以降低损害。要求端到端加密。

使用零信任安全的好处

实施零信任体系结构的企业能够获得更高的安全性、同时支持远程和混合工作、更低的风险,并且让员工有更多时间专注于高优先级工作而不必担心繁琐的任务。

  • 支持远程和混合工作

    帮助员工随时随地使用任何设备安全地工作。

  • 将风险降至最低

    与传统安全相比,通过防止攻击、更快地发现威胁以及更快地采取行动来降低损害。

  • 迁移到云

    顺利地从本地迁移到云,并减少此过程中的漏洞。

  • 节约时间

    消除误报警报、额外的工作流步骤和冗余安全工具,让安全团队专注于事件响应,而不必担心密码重置和维护。

  • 提升员工体验

    使用单一登录 (SSO) 或生物特征来代替多个密码,简化对资源的访问。支持自带设备 (BYOD) 模型,提供更大的灵活性和自由度。

零信任功能和用例

  • 零信任体系结构的主要特点包括:

  • 端到端治理

    孤立的系统会带来风险。而零信任通过全面的加密和强大的身份管理来验证对组织整个数字资产的访问。

  • 可见性

    发现影子 IT 系统和所有试图访问你的网络的设备。查明用户和设备是否合规,如果不合规则限制访问。

  • 分析

    自动分析数据并获得有关异常行为的实时警报,以更快地检测和响应威胁。

  • 自动化

    使用 AI 阻止攻击、减少误报并确定要响应的警报的优先级。

  • 零信任用例包括:

    • 支持混合和远程工作或多云环境。
    • 应对网络钓鱼、被盗凭据或勒索软件
    • 为临时员工提供安全、限时的访问权限。
    • 保护和监视对第三方应用的访问。
    • 支持使用各种设备的一线员工。
    • 保持符合监管要求。

如何实施和使用零信任模型

为你的组织的标识、设备、网络、应用、数据和基础结构部署和使用零信任的方法如下。

  • 1. 创建强大的身份验证

    开始验证对你的组织使用的每个应用、服务和资源的访问权限,从最敏感的内容开始。为管理员提供工具来评估风险并在标识出现警告信号时实时响应,例如登录尝试失败次数过多。

  • 2. 管理对设备和网络的访问

    确保所有终结点(无论是个人终结点还是公司终结点)都符合组织的安全要求。加密网络并确保所有连接都是安全的,包括远程和现场连接。对网络进行分段,以限制未经授权的访问。

  • 3. 提高对应用的可见性

    “影子 IT”是员工使用的任何未经授权的应用程序或系统,它可能会带来威胁。调查员工安装了哪些应用,以便确保它们合规、设置权限并监视它们是否有任何警告迹象。

  • 4. 设置数据权限

    为你的组织的数据(包括文档、电子邮件等)分配分类级别。加密敏感数据并提供最低权限访问。

  • 5. 监视基础结构

    评估、更新和配置基础结构的每一个环节(如服务器和虚拟机)以限制不必要的访问。跟踪指标,以便轻松识别可疑行为。

零信任解决方案

零信任解决方案涵盖任何人都可以使用的工具到面向企业的复杂、大规模方法等。以下是几个示例:


个人可以在访问应用或网站之前启用 多重身份验证 (MFA) 以获取一次性代码。你还可以开始使用指纹或面部等生物识别技术登录。


学校社区可以采用无密码模式,因为密码很容易丢失。它们还可以提高终结点安全性以支持远程工作和学校,以及在设备丢失或被盗时进行对访问进行分段。


组织可以通过识别所有接入点并实施更安全的访问策略来采用零信任体系结构。由于零信任是一种长期方法,因此组织应致力于持续监视以检测新威胁。

零信任对企业的作用

零信任是一种全面的安全模型,而不是单一的产品或步骤。企业需要重新评估其整个安全方法,以应对当今的挑战和网络威胁。零信任提供了安全路线图,实施后,不仅可以使组织更加安全,还可以帮助他们安全地扩展并为网络威胁的下一次演变做好准备。

详细了解 Microsoft 安全

零信任网络研讨会

与安全专家一起探索最新的零信任策略、趋势和最佳做法。

观看网络研讨会

获取零信任 playbook

根据本综合 playbook 为你的组织采用零信任创建拟办事项。

获取指南

检查安全状况

参加测验评估你的零信任成熟度级别,并获得有关后续步骤的建议。

参加测验

引领零信任之路

行业分析师认为 Microsoft 是身份验证和访问管理方面的领导者。

阅读分析师的评价

联邦对零信任的授权

美国政府要求联邦机构采用零信任来防范网络威胁。

阅读行政命令

常见问题解答

  • 零信任被广泛接受,十多年来一直受到网络安全机构的称赞。大型企业和行业领导者均使用零信任,并且随着越来越多的组织采用远程和混合工作,采用率逐步增长。

  • 零信任很重要,因为组织需要针对最新网络攻击威胁防护以及支持安全远程工作的方法。由于威胁的迅速增加和响应数据泄露的高成本,零信任近年来变得更加重要。

  • 零信任网络安全意味着不会仅仅因为某个标识获得了对网络的访问权限而信任该标识。相反,实施零信任网络访问意味着持续对尝试访问网络的每个设备、应用和用户进行身份验证,对网络上的所有内容进行加密,对网络进行分段以包含任何攻击,制定限制网络访问的策略,以及实时识别威胁。

  • 零信任的主要概念是持续对用户和设备进行身份验证(而不仅仅是一次)、加密所有内容、提供所需的最低访问权限、限制访问持续时间,以及使用分段来降低任何违规造成的损害。

  • 云中的零信任意味着将零信任原则和策略应用于组织的云安全,以便云资源安全且合规,并且组织具有更高的可见性。云中的零信任对存储在云中的任何内容进行加密,管理访问,帮助识别对云基础结构的任何破坏,并加快修正速度。

关注 Microsoft