零信任安全架构实施的原则有什么

零信任安全架构实施的原则有以下这些：

• 服务体系结构原则：为了保护网络和资产的安全，请创建用户，设备和服务的完整清单。这包括分别需要访问哪些数据和资产，访问可能造成的负债以及如何管理访问。尤其要注意连接到网络的那些资产和组件。例如，将重点放在具有内部或外部端点的服务器上而不是磁带备份上。注意预先存在的配置和权限也很重要。如果您正在从传统的网络模型过渡到零信任，则可能需要更新服务和资产以确保持续的功能。

• 强大设备身份原则：为了确保网络上仅允许使用受信任的设备，请先为每个设备建立一个唯一的可追溯身份。这些身份使您可以验证资产是否得到有效管理以及暴露不受信任的设备。另外，您为设备创建的身份对于根据定义的策略对权限和访问进行身份验证是必需的。有几种识别设备的方法，具体取决于设备的硬件，平台和类型。最可靠的方法是将身份信息存储在安全的硬件协处理器上。这很难伪造，是高度信任的方法。如果无法进行硬件存储，则可以使用基于软件的密钥存储。此方法为管理良好的设备提供了合理的置信度。但是，对于管理不善或不受管理的设备，它只能降低信心。

• 重点监视交互方式原则：全面，连续的监视有助于确保即使安全措施失败，也能够检测并阻止攻击。特别要注意监视设备和服务的交互方式。例如，正在请求什么，执行了哪些过程以及访问了哪些数据。监视时，请记住，每个设备都需要单独评估。这并不意味着您不应该跨设备关联数据。但是，这确实意味着您不能依靠流量阻塞点来捕获可疑事件。而是根据网络上发生的事件评估设备数据，以确保流量与您定义的安全策略匹配。

• 不信任任何网络原则：请记住，零信任意味着零。这包括您的本地网络。您不应该依赖网络本身来保护通信。相反，应在网络内运行的设备和服务中建立信任。例如，通过实施加密协议（例如TLS）。如果您依靠本地网络来确保安全，则可能会打开连接来攻击DNS欺骗，中间人（MitM）攻击或未经请求的入站连接等攻击。