零信任是什么、不是什么

零信任作为一种安全管理哲学，近年来渐渐有了一统江山之势，包括“产学研用管”在内的整个安全业界基本上在零信任这个问题上达成了共识，不信大家可以看看等级保护2.0的原文，你就会发现，那里处处体现着零信任思想的光芒。

关于零信任究竟是什么，网上的资料已经很多了，在这里我就不再照搬照抄了。不过我们也注意到，“零信任”这个词除了是一个技术词汇之外也是一个市场词汇，被各个安全公司从自己的视角各自解读，在这个过程中不可避免地会夹带一些私货，从而造成一些混乱和误解，所以我们今天来谈谈零信任不是什么，也许对于帮助大家更好地理解零信任会起到一些积极的作用。

首先，零信任是一个方法论，它定义了一种安全管理的新的视角。它不是一个产品或者说一个技术。也就是说您买不到一个叫零信任的产品，您只能买到帮您实现零信任的某种要求的产品。

其次，零信任是一个过程，或者说是一个方向。它不是一个静态的标准，或者说状态。也就是说，你不能说我们今天来做一个零信任的项目，做过之后我们就拥有了零信任，没有这种事情。你只能说通过一期项目，我们在一定的范围内，在一定的水平上，实现了零信任的某些能力。比如说，我们可以说我们能够在网络层面实现数据中心流量的全面可视和可控，但是网络层之上还有应用层，你看到了网络层面的主体和通信关系，但是你还没有理解应用层面的服务主体和应用访问关系。而在应用层之上还有更深层次的业务层面的分析与控制问题。所以说，零信任的建设应该是一个持续的，逐渐深入，逐渐优化的过程，也是一个在安全与业务之间的一个平衡的过程。

第三，零信任是个广泛适用的方法论，也就是说它可以应用于整个计算架构的各个方面，在每一个细分的环境，每一个具体维度上都可以利用零信任的方式来做管理，而不是说零信任只能像Google那样将之应用于办公网，面向员工的身份进行管理。我们可以看一下Forrester的这张图：