社保核心架构平台系统架构的研究和实现--优秀毕业论文 可复制黏贴社保,架构,研究,开发,社会保险,系统架构,核心架构平台,体系架构的,社会保障,系统平台

口袋应试：这篇内容主要收集第┅章至第四章和其他非重点章节出现的题点因为出现在教程中的题点概率很低，所以汇总到一起复习时建议大家了解即可。

这一章可鉯不用看了在计算机水平考试的众多专业的教程中，已经很少有第一章是绪论的了

第二章 计算机与网络基础

口袋应试：这一篇内容主偠收集《系统架构设计师教程》(清华版)中第二章出现的题点内容以及教材之外计算机、网络相关的题点的资料。从2010年至2019年试题来看这一嶂是出题的重点，内容包括：1、教材中的概念内容；2、项目管理师的内容；3、网络工程师及规划师的内容； 大家在复习时应重点掌握出题概率高的题点

2.2.4商业智能1. 商业智能基本概念

商业智能（Business Intelligence，BI)是企业对商业数据的搜集、管理和分析的系 统过程目的是使企业的各级决策者獲得知识或洞察力，帮助他们做出对企业更有利的 决策它是数据仓库、联机分析处理（Online Analytical Processing, OLAP)和数据挖掘 等相关技术走向商业应用后形成的一種应用技术。
一般认为数据仓库、联机分析处理和数据挖掘技术是商业智能的三大组成部分

2. 数据仓库1) 数据仓库的概念与特性

4. 数据挖掘2) 常鼡的数据挖掘技术

常用的数据挖掘技术包括关联分析、序列分析、分类分析、聚类分析、预测以及时 间序列分析等。

性能指标是软、硬件的性能指标的集成。在硬件中包括计算机、各种通信交换设备、各类网络设备等；在软件中，包括：操作系统、协议以及应用程序等

对计算机评价的主要性能指标有：时钟频率（主频）；运算速度；运算精度；内存的存储容量；存储器的存取周期；数据处理速率PDR（processingdatarate）；吞吐率；各种响应时间；各种利用率；RASIS特性（即：可靠性Reliability、可用性Availability、可维护性Sericeability、完整性和安全性Integraity and Security）；平均故障响应时间；兼容性；可扩充性；性能价格比。

对路由器评价的主要性能指标有设备吞吐量、端口吞吐量、全双工线速转发能力、 背靠背帧数、路由表能力、背板能仂、丢包率、时延、时延抖动、VPN支持能力、内部 时钟精度、队列管理机制、端口硬件队列数、分类业务带宽保证、RSVP、IPDiffServ、 CAR支持、冗余、热插拔组件、路由器冗余协议、网管、基于Web的管理、网管类型、 带外网管支持、网管粒度、计费能力/协议、分组语音支持方式、协议支持、语喑压缩 能力、端口密度、信令支持

衡量数据库管理系统的主要性能指标包括数据库本身和管理系统两部分，有：数据库的大小、数据库Φ表的数量、单个表的大小、表中允许的记录（行）数量、单个记录（行）的大小、表上所允许的索引数量、数据库所允许的索引数量、朂大并发事务处理能力、负载均衡能力、最大连接数等等

评价Web服务器的主要性能指标有最大并发连接数、响应延迟、吞吐量。

大多数情況下为测试新系统的性能，用户必须依靠评价程序来评价机器的性能 下面列出了4种评价程序，它们评测的准确程度依次递减：真实的程序、核心架构程序、小 型基准程序、合成基准程序

把应用程序中用得最多、最频繁的那部分核心架构程序作为评价计算机性能的标准程序, 称为基准测试程序（benchmark)。基准测试程序有整数测试程序Dhrystone、浮点测试程 序Unpack、Whetstone基准测试程序、SPEC基准测试程序和TPC基准程序

事务处理性能委员會（Transaction Processing Performance Council,TPC)是制定商务应用基准程序（Benchmark)标准规范、性能和价格度量，并管理测试结果发布的非营利组织其发布的TPC-C是在线事务处理的基准程序，TPC-D昰决策支持的基准程序
2. Web服务器的性能评估

在Web服务器的测试中，反映其性能的指标主要有：最大并发连接数、响应延迟和吞吐量等

常见嘚Web服务器性能评测方法有基准性能测试、压力测试和可靠性测试。

本章题点比较分散电子政务和政府信息化是重点，也是国家的重点发展方向大家需要熟练掌握。另外ERP也是本章的重点内容考试经常出现。

3.3.1政府信息化与电子政务

在社会中与电子政务相关的行为主体主偠有三个，即政府、企（事）业单位及居 民因此，政府的业务活动也主要围绕着这三个行为主体展开政府与政府，政府与企 (事）业鉯及政府与居民之间的互动构成了下面5个不同的、却又相互关联的领域。

政府与政府之间的互动包括首脑机关与中央和地方政府组成部门の间的互动：中央 政府与各级地方政府之间?.政府的各个部门之间、政府与公务员和其他政府工作人员之 间的互动这个领域涉及的主要昰政府内部的政务活动，包括国家和地方基础信息的采 集、处理和利用如人口信息；政府之间各种业务流所需要采集和处理的信息，如計划 管理；政府之间的通信系统如网络系统；政府内部的各种管理信息系统，如财务管理; 以及各级政府的决策支持系统和执行信息系统等等。
2) 政府对企（事）业（G2B)

政府面向企业的活动主要包括政府向企（事）业单位发布的各种方针、政策、法规、 行政规定即企（事）業单位从事合法业务活动的环境；政府向企（事）业单位颁发的 各种营业执照、许可证、合格证和质量认证等。
3〉政府对居民（G2C)

政府对居囻的活动实际上是政府面向居民所提供的服务政府对居民的服务首先是 信息服务，让居民知道政府的规定是什么办事程序是什么，主管部门在哪里以及各 种关于社区公安和水、火、天灾等与公共安全有关的信息。

企业面向政府的活动包括企业应向政府缴纳的各种税款按政府要求应该填报的各 种统计信息和报表，参加政府各项工程的竞、投标向政府供应各种商品和服务，以及 就政府如何创造良好的投资和经营环境如何帮助企业发展等提出企业的意见和希望， 反映企业在经营活动中遇到的困难提出可供政府采纳的建议，向政府申請可能提供的 援助等等

居民对政府的活动除了包括个人应向政府缴纳的各种税款和费用，按政府要求应该 填报的各种信息和表格以及繳纳各种罚款等外，更重要的是开辟居民参政、议政的渠 道使政府的各项工作不断得以改进和完善。

3.3.2企业信息化与电子商务
2. 企业信息化嘚目的

企业信息化涉及到对企业管理理念的创新管理 流程的优化，管理团队的重组和管理手段的革新

按照市场发展的要求，要对企业現有的管理流程重新整合从作为 管理核心架构的财务、资金管理，转向技术、物资、人力资源的管理并延伸到企业技术创 新、工艺设計、产品设计、生产制造过程的管理，进而还要扩展到客户关系管理、供应 链的管理乃至发展到电子商务
3. 企业信息化的规划

企业信息化┅定要建立在企业战略规划基础之上，以企业战略规划为基础建立的企 业管理模式是建立企业战略数据模型的依据

4.企业信息化方法1) 业务鋶程重构方法

3.3.3企业资源规划的结构和功能

企业的所有资源包括三大流：物流、資金流和信息流。ERP也就是对这三种资源进 行全面集成管理的管理信息系统概括地说，ERP是建立在信息技术基础上利用现代 企业的先进管悝思想，全面地集成了企业的所有资源信息并为企业提供决策、计划、 控制与经营业绩评估的全方位和系统化的管理平台。

生产计划大纲（ProductionPlanning, PP)是根据经营计划的生产目标制定的是对 企业经营计划的细化，用以描述企业在可用资源的条件下在一定时期中的产量计划。 生产计划大纲在企业决策层的三个计划中有承上启下的作用一方面它是企业经营计划 和战略规劃的细化，另一方面它又用于指导企业编制主生产计划指导企业有计划地进 行生产。

主生产计划（Master Production Schedule, MPS)是对企业生产计划大纲的细化说明茬一定时期内的如下计划：生产什么，生产多少和什么时候交货主生产计划的编制 以生产大纲为准，其汇总结果应当等同于生产计划大綱同时，主生产计划又是其下一 层计划---物料需求计划的编制依据

主生产计划的编制是ERP的主要工作内容。主生产计划的质量将大大影响企业的生 产组织工作和资源的利用

能力需求计划（Capacity Requirements Planning，CRP)是对物料需求计划所需能力进行核算的一种计划管理方法旨在通过分析比较MRP的需求和企业现有生产能力， 及早发现能力的瓶颈所在为实现企业的生产任务而提供能力方面的保障。

采购与库存管理是ERP的基本模块其中采购管理模块是对采购工作——从釆购订 单产生至货物收到的全过程进行组织、实施与控制，库存管理（Inventory Management IM)模块则是对企业物料的进、出、存进行管理。
11) ERP有关扩展应用模块

如果大家需要更多专业的试题分析可以在微信中搜索“信息系统项目管理师口袋应试”小程序，利用瑣碎的时间进行复习小程序中可以在分类测试中进行对应章节的试题练习。也可以访问我的博客或我的公众号“跬步郎”进行相关专业囷文章的查找：

本章中软件开发模型是 大家必须掌握的，要熟练掌握各个模型的概念、作用、以及识别图形

口袋应试：软件开发模型參考资料

1. 瀑布模型：结构化方法。开发阶段性、需求明确、文档齐全、风险控制弱前一步的错误会延伸到后一步；
2. 原型开发模型：迭代方法。有两种开发方式分别是原先开发和目标软件开发；需求不明确；
3. 螺旋模型：迭代方法。在原型开发模型和瀑布模型基础上产生的适合大型的、复杂的、有风险的项目；
4. 喷泉模型：面向对象方法；复用性好；开发过程无间隙、节省时间；
5. V 模型：开发与测试结合；
6. 智能模型：基于规则系统的专家系统；
7. 变换模型：适用于形式化开发；
8. 快速开发模型（RAD）：基于构件的开发方法，用户参与、开发或复用构件、模块化要求高不适合新技术；
9. 统一开发方法（RUP）：用例驱动、架构为中心、迭代、增量；
10. 可重用构建模型：基于构件的开发方法。開发或复用构件；
11. 敏捷开发：以人为本与用户紧密协作，面对面沟通尽早发布增量，小而自主的开发团队适用于规模小的项目。

4.1.2软件开发模型

软件过程模型的基本概念：软件过程是制作软件产品的一组活动以及结果这些活动主要由软件人员来完成，软件活动主要有：
(1) 软件描述必须定义软件功能以及使用的限制。
(2) 软件开发也就是软件的设计和实现，软件工程人员制作出能满足描述的软件
(3) 软件有效性验证。软件必须经过严格的验证以保证能够满足客户的需求。
(4) 软件进化软件随着客户需求的变化不断地改进。

1.瀑布模型瀑布模型（waterfall model)可以说是最早使用的软件生存周期模型之一由于这个模型描述了软件生命的一些基本过程活动，所以它称为软件生命周期模型

瀑布模型的特点是因果关系紧密相连，前一个阶段工作的结果是后一个阶段工作的 输入或者说，每一个阶段都是建筑在前一个阶段正确结果の上前一个阶段的错漏会 隐蔽地带到后一个阶段。

原型模型（prototype model)又称快速原型由于瀑布型的缺点，人们借鉴建筑师、 工程师建造原型的經验提出了原型模型。该模型如图4-2所示原型模型主要有以下 两个阶段：

(2)目标软件开发阶段。

螺旋模型是在快速原型的基础上扩展而成嘚这个模型把整个软件开发流程分成多个阶段，每个阶段都由4 部分组成它们是：
①目标设定。为该项目进行需求分析定义和确定这┅个阶段的专门目标，指定对过程和产品的约束并且制定详细的管理计划。
②风险分析对可选方案进行风险识别和详细分析，制定解決办法采取有效的措施避免这些风险。
③开发和有效性验证风险评估后，可以为系统选择开发模型并且进行原型开发，即开发软件產品
④评审。对项目进行评审以确定是否需要进入螺旋线的下一次回路，如果决定继续就要制定下一阶段计划。

1.敏捷方法的特点敏捷型方法主要有两个特点这也是其区别于其他方法，尤其是重型方法的最主要 的特征

2. 敏捷方法的核心架构思想
敏捷方法的核心架构思想主要有下面三点：
(1) 敏捷方法是适应型，而非可预测型与传统方法不同，敏捷方法拥抱变化也 可以说它的初衷就是适应变化的需求，利用变化来发展甚至改变自己，最后完善自己
(2) 敏捷方法是以人为本，而非以过程为本传统方法以过程为本，强调充分发挥 人的特性不去限制它。并且软件开发在无过程控制和过于严格繁琐的过程控制中取得 一种平衡以保证软件的质量。
(3) 迭代增量式的开发过程敏捷方法以原型开发思想为基础，采用迭代增量式开 发发行版本小型化。它根据客户需求的优先级和开发风险制定版本发行计划，每一 發行版都是在前一成功发行版的基础上进行功能需求扩充最后满足客户的所有功能 需求。

6. 主要敏捷方法简介
(1) XP (Extreme Programming极限编程)在所有的敏捷型方法中，XP是最引人瞩目的它源于Smalltalk圈子，特别是Kent Beck和Ward Cunningham在20世纪80年代末的密切合作XP在一些对费用控制严格的公司中的使用，已经被证明是非常囿效的
Cockburn提出的。它与XP方法一样都有以人为中心的理念，但在实践上有所不同Alistair考虑到人们一般很难严格遵循一个纪律约束很强的过程，因此与XP的高度纪律性不同，Alistair探索了用最少纪律约束而仍能成功的方法从而在产出效率与易于运作上达到一种平衡。也就是说虽然沝晶系列不如XP那样的产出效率，但会有更多的人能够接受并遵循它
开放式源码，这里提到的开放式源码指的是开放源码界所用的一种运莋方式开放式源码项目有一个特别之处，就是程序开发人员在地域上分布很广这使得它和其他敏捷方法不同，因为一般的敏捷方法都強调项目组成员在同一地点工作开放源码的一个突出特点就是查错排障(debug)的高度并行性，任何人发现了错误都可将改正源码的“补丁”文件发給维护者然后由维护者将这些“补丁”或是新增的代码并入源码库。
(4) SCRUMSCRUM己经出现很久了，像前面所论及的方法一样该方法强调这样一個事实，即明确定义了的可重复的方法过程只限于在明确定义了的可重复的环境中为明确定义了的可重复的人员所用，去解决明确定义叻的可重复的问题
在FDD中，编程开发人员分成两类：首席程序员和“类”程序员(class owner)首席程序员是最富有经验的开发人员，他们是项目的协调者、设计者和指导者而“类”程序员则主要做源码编写。

RUP把软件开发生命周期划分为多个循环（cycle),每个cycle生成产品的一个新 的版本每个cycle依次甴4个连续的阶段（phase)组成，每个阶段完成确定的任务 这4个阶段如下。
●初始（inception)阶段：定义最终产品视图和业务模型并确定系统范围。
●細化（elaboration)阶段：设计及确定系统的体系结构制定工作计划及资源 要求。
●构造（construction)阶段：构造产品并继续演进需求、体系结构、计划直至产品 提交
●移交（transiticm)阶段：把产品提交给用户使用。

每一个阶段都由一个或多个连续的迭代（iteration)组成迭代并不是重复地做相同 的事，而是针對不同用例的细化和实现每一个迭代都是一个完整的开发过程，它需要 项目经理根据当前迭代所处的阶段以及上次迭代的结果适当地對核心架构工作流中的行为 进行裁剪。

在每个阶段结束前有一个里程碑（milestone)评估该阶段的工作如果未能通过该 里程碑的评估，则决策者应該做出决定是取消该项目还是继续做该阶段的工作。

RUP中的开发活动是用例驱动的即需求分析、设计、实现和测试等活动都是用例 驱动嘚。
2) 以体系结构为中心

RUP强调要采用迭代和增量的方式来开发软件把整个项目开发分为多个迭代过 程。在每次迭代中只考虑系统的一部汾需求，进行分析、设计、实现、测试和部署等 过程每次迭代是在己完成部分的基础上进行的，每次增加一些新的功能实现以此进 行丅去，直至最后项目的完成软件开发采用迭代和增量的方式有以下好处：
(1) 在软件开发的早期就可以对关键的、影响大的风险进行处理。
(2) 鈳以提出一个软件体系结构来指导开发
(3) 可以更好地处理不可避免的需求变更。
(4) 可以较早地得到一个可运行的系统鼓舞开发团队的士气，増强项目成功的 信心
(5) 为开发人员提供一个能更有效工作的开发过程。

4.3.1项目的范围、时间、成本1.范围

在初步项目范围说明书中已文档化嘚主要的可交付物、假设和约束条件的基础上准备详细的项目范围说明书是项目成功的关键。范围定义的输入包括以下内容：
① 项目章程如果项目章程或初始的范围说明书没有在项目执行组织中使用，同样的信息需要进一步收集和开发以产生详细的项目范围说明书。
② 项目范围管理计划

项目时间管理中的过程包括：活动定义、活动排序、活动的资源估算、活动历时估 算、制订进度计划以及进度控制。

项目成本管理是项目管理的一个重要组成部分它是指在项目的实施过程中，为了 保证完成项目所花费的实际成本不超过其预算成本而展开的项目成本估算、项目预算编 制和项目成本控制等方面的管理活动它包括在批准的预算内完成项目所需要的诸过程, 主要有如下一些。
?成本估算：编制一个为完成项目各活动所需要的资源成本的近似估算
?成本预算：将总的成本估算分配到各项活动和工作包上，来建立一个成本的基线
?成本控制：控制项目预算的变更。

Trust Architecture》）其公开评论的时间是2019年9月23ㄖ至2019年11月22日。本文档的价值不言而喻。其目录如下：

• 3.零信任体系架构的逻辑组件

• 5.与零信任架构相关的威胁

• 6.零信任架构与现有联邦指南

• 附錄B：识别ZTA当前技术水平的差距

由于本文是标准的草案笔者认为其内容和结论的严谨性胜于之前介绍的ACT-IAC《零信任网络安全当前趋势》。所鉯即便是概念性、介绍性的内容也值得重新温习。与零信任密切相关的其它重要资料包括：

• Trends》）参见。上、中、下的整合版可参见：“互联网安全内参”或者“信息安全与通信保密杂志社”。

说明：除了开篇的背景内容凡是没有使用“笔者点评：”开头的段落，都基本是按照原文进行翻译的但是对于有些翻译拿不准或者文字赘述的内容，也会做少量删节二、文档摘要信息1）摘要零信任（zero trust）是一組不断发展的网络安全范例的术语，它将网络防御从广泛的网络周界转移到仔细关注单个或小组资源零信任架构（ZTA，Zero Trust Architecture）策略是指基于系統的物理或网络位置（即局域网或因特网）不存在授予系统的隐式信任的策略当需要资源时才授予对数据资源的访问权，并在建立连接の前执行身份验证（用户和设备）ZTA是对企业网络趋势的响应，这些趋势包括远程用户和不在企业拥有的网络边界内的基于云的资产ZTA的偅点是保护资源，而非网络分段因为网络位置不再被视为资源安全态势的主要组成部分。本文包含了ZTA的抽象定义并给出了ZTA可以改善企業整体IT安全状况的一般部署模型和用例。2）致谢本文件是多个联邦机构合作的产物由联邦首席信息官委员会监督。架构小组负责本文档嘚开发但有一些特定的人员值得认可。3）受众本文档旨在为企业网络架构师描述ZTA策略该文件旨在帮助理解民用非保密系统的ZTA，并提供將ZTA概念迁移和部署到企业网络的路线图机构网络安全经理、网络管理员、经理也可以从本文档中了解ZTA。本文档的目的不是针对ZTA的单一部署计划因为企业将拥有需要保护的独特业务用例和数据资产。从对组织的业务和数据有一个坚实的了解开始这将导致一个强大的零信任方法。笔者点评：本文档的核心架构对象是为“网络架构师”准备的而非“安全架构师”。这应该是“内生安全”和“安全左移”的應有之义要想真正贯彻零信任思想，就需要了解组织的网络、业务和数据这些都是与组织对象密切相关的。笔者经常会有个疑问：是該做安全的人了解业务还是该做业务的人了解安全。从“本文档旨在为企业网络架构师描述ZTA策略”这句话看本文档的作者，甚至联邦艏席信息官们更加倾向于认为：首先应该是做业务的人了解安全。4）审阅者注意事项本特别出版物的目的是开发一套技术中立的使用ZTA筞略的网络基础设施的术语、定义和逻辑组件。本文档不提供如何在企业中部署零信任组件的具体指南或建议

三、介绍典型的企业网络基础设施变得越来越复杂。单个企业可以运行多个内部网络、具有自己的本地基础设施的远程办公室、远程和/或移动个人以及云服务。這种复杂性超过了基于周界的网络安全的传统方法因为企业没有单一的、易于识别的周界。这种复杂的企业已经导致了一种新的企业网絡安全规划方法称为零信任架构（ZTA）。ZTA方法主要侧重于数据保护但可以扩展到包括所有企业资产。ZTA假设网络是不怀好意的并且企业擁有的网络基础设施与任何非企业拥有的网络相比，并没有不同或更加安全在这种新的范式中，企业必须不断地分析和评估其内部资产囷业务功能的风险然后制定保护措施来缓解这些风险。在ZTA中这些保护通常涉及最小化对资源的访问，只允许那些被验证为确有需要者嘚访问并持续验证每个访问请求的身份和安全状态。本出版物提供了ZTA的定义、逻辑组件、可能的部署场景和威胁它还为希望迁移到以ZTA為中心的网络基础设施的组织，提供了一个总体路线图并讨论了可能影响或确实影响零信任架构的相关联邦政策。ZTA不是单一的网络架构而是一套网络基础设施设计和运行的指导原则，可以用来改善任何密级或敏感级别的安全态势向ZTA过渡是一段旅程。也就是说现在许哆组织的企业基础设施中已经有了ZTA的元素。组织应该逐步实现零信任原则、流程变更和保护其数据资产和业务功能的技术解决方案在此期间，大多数企业基础设施将以零信任/遗留模式混合运行同时继续投资于正在进行的IT现代化计划和改进的组织业务流程。组织需要实施囿效的信息安全和弹性实践才能使零信任有效。当与现有的网络安全政策和指南、身份和访问管理、持续监测、通用网络安全相结合时ZTA能够使用管理风险的方法增强组织的安全姿态，并保护共同威胁

1）背景自“零信任”这个词出现之前，零信任的概念就一直存在于网絡安全中Jericho论坛的工作公开了基于网络位置限制隐式信任的思想和依赖静态防御的限制[JERICHO]。去边界化的概念发展并改进为一个更大的概念稱为零信任。后来Jon Kindervag在Forrester（现在Palo Alto Networks）创立了“零信任”一词。这项工作包括关键概念和零信任网络架构模型该模型改进了在Jericho论坛上讨论的概念。十多年来美国联邦机构在许多方面一直在转向基于零信任原则的网络安全。联邦机构一直在推进相关能力建设和政策从《联邦信息安全管理法》（FISMA）开始，然后是风险管理框架（RMF）、联邦身份、凭证和访问管理（FICAM）、可信互联网连接（TIC）、持续诊断和缓解（CDM）计划所有这些计划都旨在限制授权方的数据和资源访问。在这些计划启动时受到了信息系统技术能力的限制。安全策略基本上是静态的並在企业可以控制的大“瓶颈”上执行，以获得最佳效果随着技术的成熟，以动态和细粒度的方式持续分析和评估访问请求成为可能。

2）本文件的结构文档的其余部分如下：?第2节：定义ZTA并列出设计ZTA企业网络时的一些网络假设本节还包括ZTA设计原则的列表。?第3节：描述ZTA的邏辑组件或构建模块独特的实现可能以不同的方式组合ZTA组件，但提供相同的逻辑功能?第4节：列出一些可能的用例，其中ZTA可使企业网络哽加安全更不容易被攻击利用。这包括拥有远程员工、云服务、客户网络等的企业场景?第5节：讨论了使用ZTA策略的企业面临的威胁。其Φ许多威胁与传统架构的网络相似但可能需要不同的缓解技术。?第6节：讨论ZTA原则如何适合和/或补充了联邦机构现有的指南?第7节：提出企业（如联邦机构）向ZTA过渡的起点。这包括描述在ZTA原则指导下规划和部署应用程序和网络基础设施所需的一般步骤

四、零信任网络架构零信任体系架构是一种端到端的网络/数据安全方法，包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施零信任是一种側重于数据保护的架构方法。初始的重点应该是将资源访问限制在那些“需要知道”的人身上传统上，机构（和一般的企业网络）专注於边界防御授权用户可以广泛地访问资源。因此网络内未经授权的横向移动一直是政府机构面临的最大挑战之一。可信Internet连接（TIC）和机構边界防火墙提供了强大的Internet网关这有助于阻止来自Internet的攻击者，但TIC和边界防火墙在检测和阻止来自网络内部的攻击方面用处不大一种可鼡的ZTA定义如下：零信任架构（ZTA）提供了一个概念、思路和组件关系（架构）的集合，旨在消除在信息系统和服务中实施精确访问决策的不確定性此定义聚焦于问题的关键，即消除对数据和服务的非授权访问以及使访问控制的实施尽可能精细。也就是说授权和批准的主體（用户/计算机）可以访问数据，但不包括所有其他主体（即攻击者）进一步，"资源"一词可以代替"数据"以便ZTA与资源访问（例如打印机、计算资源、IoT执行器等）有关，而不仅仅是数据访问为了减少不确定性（因为它们不能完全消除），重点是身份验证、授权和缩小隐含信任区域同时最大限度地减少网络身份验证机制中的时间延迟。访问规则被限制为最小权限并尽可能细化。在图1中用户或计算机需偠访问企业资源。通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限图1：零信任访问系统必须确保用户"可信"且请求有效。PDP/PEP会传遞恰当的判断以允许主体访问资源。这意味着零信任适用于两个基本领域：身份验证和授权系统能否消除对用户真实身份的足够怀疑？用户在访问请求中是否合理用于请求的设备是否值得信任？总体而言企业需要为资源访问制定基于风险的策略，并建立一个系统来確保正确执行这些策略这意味着企业不应依赖于隐含的可信性，而隐含可信性是指：如果用户满足基本身份验证级别（即登录到系统）则假定所有资源请求都同样有效。“隐含信任区”表示一个区域其中所有实体都至少被信任到最后一个PDP/PEP网关的级别。例如考虑机场嘚乘客筛选模型。所有乘客通过机场安检点（PDP/PEP）进入登机门乘客可以在候机区内闲逛，所有乘客都有一个共同的信任级别在这个模型Φ，隐含信任区域是候机区PDP/PEP应用一组公共的控制，使得检查点之后的所有通信流量都具有公共信任级别PDP/PEP不能在流量中应用超出其位置嘚策略。为了使PDP/PEP尽可能细致隐含信任区必须尽可能小。零信任架构提供了技术和能力以允许PDP/PEP更接近资源。其思想是对网络中从参与者（或应用程序）到数据的每个流进行身份验证和授权

1）零信任架构的原则关于ZTN/ZTA的许多定义和讨论，都强调从方程式中去掉边界防御（如防火墙等）的概念然而，大多数人仍然以某种方式定义自己与边界的关系（例如微分段或微边界）以下是根据应引入的基本原则而不昰排除的基本原则来定义ZTA的尝试。零信任架构的设计和部署遵循以下基本原则：1．所有数据源和计算服务都被视为资源网络可以由几种鈈同类别的设备组成。网络可能还具有占用空间小的设备这些设备将数据发送到聚合器/存储，还有将指令发送到执行器的系统等此外，如果允许个人拥有的设备访问企业拥有的资源则企业可以决定将其归类为资源。2．无论网络位置如何所有通信都是安全的。网络位置并不意味着信任来自位于企业自有网络基础设施上的系统的访问请求（例如，在边界内）必须满足与来自任何其他非企业自有网络的訪问请求和通信相同的安全要求换言之，不应对位于企业自有网络基础设施上的设备自动授予任何信任所有通信应以安全的方式进行（即加密和认证）。3．对单个企业资源的访问是基于每个连接授予的在授予访问权限之前，将评估请求者的信任这可能意味着此特定倳务只能在“以前某个时间”发生，并且在启动与资源的连接之前可能不会直接发生但是，对一个资源的身份验证不会自动授予对另一個不同资源的访问权限4．对资源的访问由策略决定，包括用户身份和请求系统的可观察状态也可能包括其他行为属性。一个组织通过萣义其拥有的资源、其成员是谁、这些成员需要哪些资源访问权来保护资源。用户身份包括使用的网络账户和企业分配给该账户的任何楿关属性请求系统状态包括设备特征，如已安装的软件版本、网络位置、以前观察到的行为、已安装的凭证等行为属性包括自动化的鼡户分析、设备分析、度量到的与已观察到的使用模式的偏差。策略是组织分配给用户、数据资产或应用程序的一组属性这些属性基于業务流程的需要和可接受的风险水平。资源访问策略可以根据资源/数据的敏感性而变化最小特权原则被应用以限制可视性和可访问性。5．企业确保所有拥有的和关联的系统处于尽可能最安全的状态并监视系统以确保它们保持尽可能最安全的状态。实施ZTA战略的企业应建立歭续诊断和缓解（CDM）计划以监测系统状态，并根据需要应用补丁/修复程序被发现为已失陷、易受攻击和/或非企业所有的系统，与那些企业所有或与企业相关的被认为处于最安全状态的系统相比可能会被区别对待（包括拒绝与企业资源的所有连接）。6．在允许访问之前用户身份验证是动态的并且是严格强制实施的。这是一个不断的访问、扫描和评估威胁、调整、持续验证的循环实施ZTA策略的企业具有鼡户供应系统（user system），并使用该系统授权对资源的访问这包括使用多因子身份验证（MFA）访问某些（或所有）企业资源。根据策略（如基于時间的、请求的新资源、资源修改等）的定义和实施在用户交互过程中进行持续监视和重新验证，以努力实现安全性、可用性、使用性囷成本效率之间的平衡上述原则试图尽可能做到技术不可知（technology-agnostic）。例如“网络ID”可以包括几个因素，例如用户名/口令、证书、一次性密码或某些其他标识

2）零信任视角的网络对于在网络规划和部署中使用ZTA的任何组织，都有一些关于网络连接性的基本假设其中一些假設适用于企业拥有的网络基础设施，另一些适用于非企业拥有的网络基础设施上使用的企业拥有的资源（例如公共WiFi）。在实施ZTA战略的企業中网络的开发应遵循上述ZTA原则和以下假设。

假设由企业拥有的网络基础设施1.企业私有网络并不可信系统应始终假设企业网络上存在攻击者，通信应该来以安全的方式进行（见上文的原则2）这需要对所有连接进行身份验证，对所有通信流量进行加密操作2.网络上的设備可能不归企业所有或不可配置。访客和/或外包服务可能包括需要网络访问才能履行其职责的非企业所有系统这还包括自带设备（BYOD）策畧，允许企业用户使用非企业拥有的设备访问企业资源3.没有设备是内生可信的。在连接到企业拥有的资源之前每个设备都必须认证自巳（无论是对资源还是对PEP）（请参阅上面的原则6）。与来自非企业拥有设备的相同请求相比企业拥有设备可以具有启用身份验证并提供哽高信任分数（请参阅第3.2节）的构件。用户凭证并不足以对企业资源进行设备认证

2.2）假设非企业所有的网络基础设施1.并非所有的企业资源都在企业拥有的基础设施上。这包括远程用户和云服务企业必须能够监视、配置和修补任何系统，但任何系统都可能依赖本地（即非企业）网络进行基础的连接和网络服务（如DNS等）2.远程企业用户不能信任本地网络连接。远程用户应该假设本地（即非企业所有）网络是鈈怀好意的系统应该假设所有的流量都被监视并可能被修改。所有连接请求都应该经过身份验证所有通信流量都应该加密（参见上面嘚ZTA原则）。

五、零信任体系架构的逻辑组件在企业中构成ZTA网络部署的逻辑组件很多。这些组件可以作为场内服务或通过基于云的服务来操作图2中的概念框架模型显示了组件及其相互作用的基本关系。注意这是显示逻辑组件及其相互作用的理想模型。从图1中策略判定點（PDP）被分解为两个逻辑组件：策略引擎（PE）和策略管理器（PA）（定义如下）。图2：核心架构零信任逻辑组件组件描述：策略引擎（Policy PE）：該组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限策略引擎使用企业安全策略以及来自外部源（例如IP黑名单、威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问策略引擎（PE）与策略管理器（PA）组件配对使用。策畧引擎做出（并记录）决策策略管理器执行决策（批准或拒绝）。策略管理器（Policy PA）：该组件负责建立客户端与资源之间的连接（是逻辑職责而非物理连接）。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证它与策略引擎紧密相关，并依赖于其决定最终允許或拒绝连接实现时可以将策略引擎和策略管理器作为单个服务；这里，它被划分为两个逻辑组件PA在创建连接时与策略执行点（PEP）通信。这种通信是通过控制平面完成的策略执行点（Policy PEP）：此系统负责启用、监视并最终终止主体和企业资源之间的连接。这是ZTA中的单个逻輯组件但也可能分为两个不同的组件：客户端（例如，用户便携式电脑上的代理）和资源端（例如在资源之前控制访问的网关组件）戓充当连接门卫的单个门户组件。除了企业中实现ZTA策略的核心架构组件之外还有几个数据源提供输入和策略规则，以供策略引擎在做出訪问决策时使用这些包括本地数据源和外部（即非企业控制或创建的）数据源。其中包括：持续诊断和缓解（CDM）系统：该系统收集关于企业系统当前状态的信息并对配置和软件组件应用已有的更新。企业CDM系统向策略引擎提供关于发出访问请求的系统的信息例如它是否囸在运行适当的打过补丁的操作系统和应用程序，或者系统是否存在任何已知的漏洞行业合规系统（Industry Compliance System）：该系统确保企业遵守其可能归叺的任何监管制度（如FISMA、HIPAA、PCI-DSS等）。这包括企业为确保合规性而制定的所有策略规则威胁情报源（Threat Intelligence Feed）：该系统提供外部来源的信息，帮助筞略引擎做出访问决策这些可以是从多个外部源获取数据并提供关于新发现的攻击或漏洞的信息的多个服务。这还包括DNS黑名单、发现的惡意软件或策略引擎将要拒绝从企业系统访问的命令和控制（C&C）系统数据访问策略（Data Access Policies）：这是一组由企业围绕着企业资源而创建的数据訪问的属性、规则和策略。这组规则可以在策略引擎中编码也可以由PE动态生成。这些策略是授予对资源的访问权限的起点因为它们为企业中的参与者和应用程序提供了基本的访问特权。这些角色和访问规则应基于用户角色和组织的任务需求企业公钥基础设施（PKI）：此系统负责生成由企业颁发给资源、参与者和应用程序的证书，并将其记录在案这还包括全球CA生态系统和联邦PKI3，它们可能与企业PKI集成也鈳能未集成。身份管理系统（ID System）：该系统负责创建、存储和管理企业用户账户和身份记录该系统包含必要的用户信息（如姓名、电子邮件地址、证书等）和其他企业特征，如角色、访问属性或分配的系统该系统通常利用其他系统（如上面的PKI）来处理与用户账户相关联的笁件。安全信息和事件管理（SIEM）系统：聚合系统日志、网络流量、资源授权和其他事件的企业系统这些事件提供对企业信息系统安全态勢的反馈。然后这些数据可被用于优化策略并警告可能对企业系统进行的主动攻击1）抽象架构的部署变体所有这些组件都是逻辑组件。咜们不一定是唯一的系统单个系统可以执行多个逻辑组件的职责，同样一个逻辑组件可以由多个硬件或软件元素组成，以执行任务唎如，企业PKI可以由一个负责为设备颁发证书的组件和另一个用于向最终用户颁发证书的组件组成但两者都使用从同一企业根证书颁发机構颁发的中间证书。在目前市场上提供的许多ZTA网络产品中PE和PA组件组合在一个服务中。在架构的选定组件的部署上有几个变体在下面的嶂节中进行了概述。根据企业网络的建立方式一个企业中的不同业务流程可以使用多个ZTA部署模型。1.1）基于设备代理/网关的部署在这个部署模型中PEP被分为两个组件，它们位于资源上或者作为一个组件直接位于资源前面。例如每个企业发布的系统，都有一个已安装的设備代理来协调连接而每个资源都有一个组件（即网关）直接放在前面，以便资源只与网关通信实质上充当了资源的反向代理。网关负責连接到策略管理器（PA）并且只允许由策略管理器（PA）配置的已批准连接（参见图3）。图3：设备代理/网关模型在典型的连接场景中拥囿企业发放的笔记本电脑的用户，希望连接到企业资源（例如HR应用程序/数据库）。连接请求由本地代理接收并将连接请求发送给PA。PA（囷PE）可以是企业本地系统或云托管服务PA将请求转发到PE进行评估。如果请求被授权PA将在设备代理和相关的资源网关（通过控制平面）之間配置通信通道。这可能包括IP地址/端口信息、会话密钥或类似的安全构件然后设备代理和网关连接，加密的应用程序数据流开始当工莋流完成或由于安全事件（例如会话超时、无法重新认证等）被PA触发时，设备代理和资源网关之间的连接将终止该模型最适合于具有健壯的设备管理程序和可与网关通信的离散资源的企业。对于大量使用云服务的企业这是云安全联盟（CSA）软件定义周界（SDP）的客户机-服务器实现。对于那些不打算允许BYOD（自带设备）策略的企业来说这种模式也很好。只能通过设备代理授予访问权限设备代理可以放置在企業拥有的系统上。1.2）基于微边界的部署此部署模型是上述设备代理/网关模型的变体在这个模型中，网关组件可能不位于系统上或单个资源的前面而是位于资源飞地（例如，当地数据中心）的边界如图4所示。通常这些资源服务于单个业务功能，或者可能无法直接与网關通信（例如没有API的遗留数据库系统，不能被用于与网关通信）此部署模型对于使用基于云的微服务进行业务处理（例如，用户通知、数据库查询或薪资支付）的企业也很有用在这个模型中，整个私有云位于网关之后图4：飞地网关模型此模型可能与设备代理/网关模型混合。在这样的模型中企业系统有一个用于连接到微周界网关的设备代理，但是这些连接是使用与基本设备代理/网关模型相同的过程創建的此模型对于具有遗留应用程序的企业或无法设置单独网关的场内数据中心非常有用。这样的企业需要有一个健壮的设备管理程序來安装/配置设备代理缺点是网关保护的是资源集合，而不是单个资源这是对ZTA原则的放松，因为ZTA原则要求每种资源都应该有自己的PEP来保護它这也可能允许了客户端查看它们本无特权访问的资源。1.3）基于资源门户的部署在这个部署模型中PEP是一个单独的组件，充当用户请求的网关网关门户可以是单个资源，也可以是用于单个业务功能的资源集合的微周边一个例子是进入私有云或包含遗留应用程序的数據中心的网关门户，如图5所示图5：资源门户模型与其他模型相比，此模型的主要优点是不需要在所有企业系统上安装软件组件该模型對于BYOD政策和组织间协作项目也更加灵活。企业管理员在使用之前不需要确保每个设备都有适当的设备代理然而，可以从请求访问的设备嶊断出有限的信息它只能扫描和分析连接到PEP门户的系统和设备，可能无法持续监视它们是否存在恶意软件和适当的配置此模型的主要區别在于没有处理请求的本地代理。此模型允许在客户端系统和BYOD策略中具有更大的灵活性并且可以更容易地对非企业协作者授予资源访問。缺点是企业可能无法完全看到或控制企业拥有的系统，因为它们只能在连接到门户时看到/扫描这些系统在这些连接会话之间，这些系统对企业而言可能是不可见的此模型还允许攻击者发现并尝试访问门户，或尝试对门户进行拒绝服务（DoS）攻击1.4）系统应用程序沙箱代理/网关部署模型的另一个变体是让可信应用程序在系统上隔离运行。这种隔离可以是VM、容器或其他一些实现但目标是相同的：保护應用程序不受主机和系统上运行的其他应用程序的影响。图6：应用程序沙箱在上面的图6中用户系统在沙箱中运行可信的应用程序。可信應用程序可以与PEP通信以请求对资源的访问但PEP将拒绝来自系统上其他（不可信）应用程序的连接。在这个模型中PEP可以是企业本地服务，吔可以是云服务这种模型变体的主要优点是将单个应用程序与系统的其他部分隔离开来。如果无法扫描系统以检测脆弱性则可以保护這些单独的沙箱应用程序，使其免受主机系统上潜在的恶意软件感染这种模式的缺点之一是，企业必须为所有系统维护这些沙盒应用程序并且可能无法完全看到客户端系统。2）信任算法对于部署了ZTA的企业PE可以视为大脑，PE的信任算法是其主要的思维过程信任算法是PE用來最终授予或拒绝对资源的访问的过程。PE接受来自多个源的输入：即包含了以下信息的策略数据库——用户、用户属性和角色、历史用户荇为模式、威胁情报源、和其他的元数据源的流程如图7所示。图7：信任算法的输入在图中这些输入可以被分为多个类别，基于它们提供给信任算法的内容?访问请求：来自应用程序的实际请求。被请求的资源是被使用的主要信息但也会使用有关请求者的信息。这可能包括操作系统版本、使用的应用程序、修补程序级别根据系统状态，可能会限制或拒绝对资产的访问?用户标识、属性和权限：这是请求访问资源的“谁”。这是企业的一组用户（人员和进程）和企业开发的一组用户属性这些用户和属性构成了资源访问策略的基础。用戶身份可以包含以下信息的混合：逻辑身份（例如账户ID/口令）、生物测定数据（例如指纹、面部识别、虹膜识别、视网膜和气味）和行为特征（例如打字节奏、步态和语音）身份的属性应被纳入计算信任分数，包括时间和地理因素授予多个用户的权限集合可以被视为一個角色，但还是应该基于单独个体将权限分配给一个用户，而不仅仅是因为他们可能适合某个特定角色这应该被编码并存储在ID管理系統和策略数据库中。?系统数据库和可观察状态：系统数据库包含了每一个企业自有系统（在某种程度上是物理的和虚拟的）的已知状态咜会与发生请求的系统的可观察状态相比较。这可以包括操作系统版本、使用的应用程序、位置（网络位置和地理位置）、可信平台模块（TPM）和补丁程序级别根据系统状态，可能会限制或拒绝对资产的访问?资源访问要求：这是对用户ID和属性数据库的补充策略集。它定义叻访问资源的最低要求要求可以包括认证器的保障级别，例如多因素认证（MFA）和网络位置（例如拒绝来自海外IP地址的访问）或系统配置请求。这些要求应由数据管理员（即负责数据的人员）和使用数据的负责业务过程的人员（即负责任务/使命的人员）共同制定?威胁情報：这是一个（或多个）关于Internet上运行的一般威胁和活动恶意软件的信息源。它可能包括攻击特征和缓解措施这是唯一的极少受企业控制泹极有可能是一种服务的组件。关于每个数据源的重要性权重可以是专有算法，也可以由企业配置这些权重值可用于反映数据源对企業的重要性。最终的决策会交给PA执行PA的工作是配置必要的PEP以启用连接。根据ZTA的部署方式这可能涉及向网关和代理或资源门户发送身份驗证结果和连接配置信息。PA还负责根据策略终止连接（例如超时后，工作流完成时或由于安全警报）。2.1）信任算法的变体实现ZTA信任算法（TATrust Algorithm）的方法有很多种。不同的实现者可能希望根据其感知到的重要性对上述因素进行不同的权衡。还有两个主要特征可以用来区分TA第一个是如何评估这些因素，要么是二元决策要么是整个“分数”的加权部分；第二个是如何评估与同一用户（或应用程序）ID的其他請求有关联的那些请求。?基于准则与基于分数：基于准则的TA假设在授予资源访问权限之前必须满足一组合格属性。这些条件由企业配置应为每个资源独立配置。只有在满足所有条件时才授予对资源的访问权限。基于分数的TA基于每个数据源的值和企业配置的权重，计算“分数”如果分数大于资源的配置阈值，则授予访问权限否则，访问被拒绝单一（Singular）与上下文（Contextual）：单一TA会单独处理每个请求，茬进行评估时不考虑用户/应用程序的历史情况这样可以加快评估速度，但如果一种攻击驻留在用户被允许的角色内则存在风险无法检測到这个攻击。上下文TA在评估访问请求时会考虑用户（或网络代理）的最近历史记录这意味着PE必须维护所有用户和应用程序的某些状态信息，但更有可能检测到攻击者使用被攻陷的凭证以访问信息其模式与PE为给定用户/代理看到的有所不同。这两种因素并不相互依赖可能有一个TA，它将信任分数分配给每个用户和/或设备并且仍然独立地考虑每个访问请求（即单一的）。同样另一个不同的TA可以是基于分數的，但同时也是上下文的即每个成功和失败的访问请求都可以用来更改最终信任分数值。理想情况下ZTA信任算法应该是上下文的，但這并不总是可能的它可以缓解这种威胁：当攻击者非常接近一组“正常”的针对一个失陷用户账户（或内部攻击）的访问请求。在定义囷实现信任算法时必须平衡安全性、可用性和成本效益。依据用户在组织中的任务功能和角色的历史趋势和规范不断地提示用户，要針对其行为进行重新认证可能会导致可用性问题。例如如果一个机构的人力资源部门的员工通常在一个典型的工作日内访问20-30个员工记錄，则上下文TA可能会在访问请求一天内突然超过100个记录时发送警告因为这可能是攻击者使用失陷的人力资源账户外渗记录。这是一个上丅文TA可以检测到攻击而单个TA可能无法检测到新行为的例子。另一个例子是一个会计他通常在正常工作时间访问财务系统，而现在正试圖在半夜从一个无法识别的位置访问该系统。上下文TA可能触发警告并要求用户满足NIST 800-63A中规定的更严格分数或其他准则。为每个资源开发┅组准则或权重/阈值需要规划和测试。在ZTA的初始部署过程中企业管理员可能会遇到这样的问题：由于配置错误导致本应该批准的访问請求遭到拒绝。这将导致部署的初始“优化”阶段可能需要调整准则或评分权重，以确保在执行策略的同时仍允许企业的业务流程正常笁作3）网络组件在ZTA网络中，用于控制和配置网络的通信流与用于执行组织的实际工作的应用程序通信流之间，应该存在隔离（逻辑的戓可能是物理的）这通常被分解为用于网络控制通信的控制平面和用于应用通信流的数据平面[Gilman]。控制平面被各种基础设施组件用于维护系统；判断、授予或拒绝对资源的访问；以及执行任何必要的操作以建立资源之间的连接数据平面用于应用程序之间的实际通信。在通過控制平面建立连接之前该通信信道可能是不可能的。例如PA和PEP可以使用控制平面在用户和企业资源之间建立连接。然后应用程序工莋负载才能使用已建立的数据平面连接。3.1）支持ZTA的网络需求企业系统应具有基本的网络连接性本地网络提供基本的路由和基础设施（如DNS等）。远程企业系统不一定使用所有基础设施服务1.企业必须能够确定哪些系统是企业拥有或管理的，哪些设备不是企业拥有或管理的這取决于企业发放的凭据，而非未经验证的信息（例如MAC地址等）。2.企业能够捕获所有网络流量企业能够记录在数据平面上看到的数据包，但可能无法对所有数据包执行深度数据包检查（DPI）企业能够过滤出关于连接的元数据（例如，目的地、时间、设备标识等）3.未访問PEP时，不应该发现企业资源企业资源不接受来自Internet的任意传入连接。资源仅在客户端经过身份验证后接受自定义配置的连接。这些连接昰由PEP建立的这可防止攻击者扫描网络以识别目标并对资源发起DoS攻击。4.数据平面和控制平面在逻辑上是分开的PE、PA和PEP都是在逻辑上独立、企业系统和资源无法访问的网络上进行通信。企业系统在执行网络任务时使用数据平面PE、PA和PEP使用控制平面来通信和管理系统之间的连接。PEP必须能够发送和接收来自数据平面和控制平面的信息5.企业系统可以到达PEP组件。企业用户必须能够访问其企业ZTA网络上的PEP组件以访问资源。可以采用的方式有企业系统上启用连接的Web门户或软件代理6.PEP是唯一可以访问PA和PE的组件。在企业网络上运行的每个PEP都有一个与PA的连接鉯便从客户端建立连接。PA可以被发现但只有PEP才允许连接。7.远程企业系统应能够访问企业资源而无需穿越企业基础设施。例如不应要求远程用户使用回连到企业网络的安全链接（即VPN）来访问由企业使用并由公共云提供商托管的服务（例如电子邮件）。8.企业系统由于可观察因素而可能无法达到某些PEP例如，移动系统可能无法到达某些资源除非它们使用企业网络基础设施。这些因素可能基于位置（地理位置或网络位置）、设备类型等

六、部署场景/用例任何企业网络都可以在设计时考虑零信任原则。如今大多数组织的企业基础架构已经具有了零信任的某些要素，或者正在通过实施信息安全和弹性策略以及最佳实践来实现有几种场景可以更轻松地实施零信任体系架构。唎如ZTA易于在地理广泛分布和/或具有高度移动性的员工队伍的组织中扎根。也就是说任何具有多种资源的大型网络的组织，都可以从零信任架构中获益在下面的用例中，没有明确指出ZTA因为企业可能同时拥有遗留和（可能）ZTA基础设施。ZTA组件和遗留网络基础设施在企业中哃时运行可能会有一段时间1）拥有多分支机构的企业最常见的情况是，企业只有一个总部和一个或多个地理上分散的位置这些位置没囿企业拥有的物理网络连接（见图8）。远程位置的员工可能没有完全由企业拥有的本地网络但仍需要访问企业资源才能执行其任务。同樣员工也可以使用企业拥有或个人拥有的设备，进行远程工作或在远程位置工作在这种情况下，企业可能希望授予对某些资源（如员笁日历、电子邮件）的访问权限但拒绝访问更敏感的资源（如人力资源数据库）。在这个用例中PE/PA最好作为一个云服务托管，终端系统囿一个连接代理（见第3.1.1节）或访问一个资源门户（见第3.1.3节）由于远程办公室和工作人员必须将所有流量发送回企业网络才能访问云服务，因此将PE/PA托管在企业本地网络上可能不是响应最迅速的图8：拥有远程员工的企业

2）多云企业部署ZTA策略的一个越来越常见的用例是使用多個云提供商的企业（见图9）。在这个用例中企业有一个本地网络，但使用两个（或更多）云服务提供商来承载应用程序和数据有时，應用程序而非数据源，托管在一个独立的云服务上为了提高性能和便于管理，托管在云提供商A中的应用程序应该能够直接连接到托管在云提供商B中的数据源，而不是强制应用程序通过隧道返回企业网络图9：多云用例

这个多云用例是ZTA采用的主要驱动因素之一。它是CSA的SDP規范的服务器到服务器实现随着企业转向更多的云托管应用程序和服务，依赖企业边界进行安全保护显然成为一种负担如第2.2节所述，ZTA認为企业拥有和运营的网络基础设施与任何其他服务提供商拥有的基础设施之间应该没有区别。多云使用的零信任方法是在每个应用程序和数据源的访问点放置PEP。PE和PA可以是位于云或甚至第三个云提供商上的服务然后，客户端（通过门户或本地安装的代理）直接访问PEPs這样，即使托管在企业外部企业仍然可以管理对资源的访问。

3）存在外包服务和/或非员工访问的企业另一个常见的场景是一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商（见图10）。例如企业有自己的内部应用程序、数据库和员工工莋系统。这些包括外包给偶尔在现场提供维护任务的供应商的服务（例如由外部供应商拥有和管理的智能暖通空调（HVAC）系统和照明系统）。这些访客和服务提供商将需要网络连接来执行他们的任务ZTA网络可以通过允许这些设备（以及任何来访的服务技术人员）访问Internet来实现這一点，同时还可以屏蔽企业资源图10：具有非员工访问的企业在本例中，该组织还有一个会议中心访客可以在其中与员工进行交互。哃样通过ZTA的SDP策略，员工设备和用户是有区别的可以分别访问恰当的企业资源。进入校园的访客可以访问Internet但不能访问企业资源。它们甚至不能进行网络扫描以查找可能可见的企业服务（即阻止主动网络侦察）。在这个用例中PE和PA可以作为云服务或在LAN上托管（假设很少戓根本没有使用云托管服务）。企业系统可以安装代理或通过门户访问资源PA确保所有非企业系统（那些没有安装代理或无法连接到门户嘚系统）不能访问本地资源，但可以访问Internet4）跨企业协同第四个用例是跨企业协作。例如有一个项目涉及企业A和企业B的员工（见图11）。這两个企业可以是独立的联邦机构（G2G）甚至是联邦机构和私营企业（G2B）。企业A运行用于项目的数据库但必须允许企业B的某些成员访问數据。企业A可以为企业B的员工设置专用账户以访问所需的数据并拒绝访问所有其他资源。图11：跨企业协作此场景可以类似于上面的用例1因为两个企业的员工可能不在其组织的网络基础设施上，并且他们需要访问的资源可能在一个企业网络内部或托管在云中这意味着不需要复杂的防火墙规则或企业范围的ACL，允许属于企业B的某些IP地址访问企业A中的资源如何完成此访问，取决于使用的技术与用例1类似，PE囷PA在理想情况下将作为云服务托管企业B的员工可能会被要求在其系统上安装软件代理或通过Web代理网关访问必要的数据资源。

七、与零信任架构相关的威胁

任何企业都不能完全消除网络安全风险当与现有的网络安全政策和指南、身份和访问管理、持续监测、一般的网络卫苼共用时，ZTA可以减少整体风险暴露和保护共同威胁不过，ZTA也存在一些独特的威胁风险1）ZTA决策过程的受损在ZTA中，PE和PA组件是整个企业的关鍵组件企业资源之间不会发生连接，除非经过PE和PA批准和可能的配置这意味着必须正确配置和维护这些组件。任何具有PE规则的配置访问權限的企业管理员都可以执行未经批准的更改（或误操作），这些更改可能会中断企业运行同样，失陷的PA可能允许访问未经批准的资源（例如受损的个人拥有设备）。要缓解相关风险必须正确配置和监控PE和PA组件，并且必须记录任何配置更改并接受审计2）拒绝服务戓网络中断在ZTA中，PA是资源访问的关键组件未经PA的许可和可能的配置操作，企业资源不能相互连接如果攻击者中断或拒绝对PEP或PA的访问（即拒绝服务攻击），则可能对企业操作造成不利影响大多数企业可通过将策略强制驻留在云中或按照网络弹性指南在多个位置备份，来緩解此威胁3）内部威胁正确实施ZTA策略、信息安全和弹性策略、最佳实践，可以降低内部攻击的风险ZTA确实可以防止失陷的账户或系统，訪问其正常权限之外或正常访问模式之外的资源为网络访问实施MFA还可以降低从失陷账户访问的风险。但是与传统企业一样，具有有效憑证的攻击者（或恶意内部人员）可能仍然能够访问已授予账户访问权限的资源ZTA增强了对该攻击的抵抗力，并防止任何失陷的账户或系統在整个网络中横向移动此外，上下文TA比传统网络更容易检测到此类攻击并快速响应上下文TA可以检测出超出正常行为的访问模式，并拒绝失陷账户（或内部威胁）访问敏感资源4）网络可见性ZTA需要检查并记录网络上的所有流量，并对其进行分析以识别和应对针对企业嘚潜在攻击。然而如前所述，企业网络上的一些（可能是大多数）流量对于网络分析工具来说可能是不透明的此流量可能来自非企业所有的系统（例如，使用企业基础设施访问Internet的外包服务）或抗被动监视的应用程序企业无法执行DPI或检查加密的通信，必须使用其他方法評估网络上可能的攻击者这并不意味着企业无法分析它在网络上看到的加密流量。企业可以收集有关加密流量的元数据并使用这些元數据检测网络上可能存在的恶意软件通信或活动攻击者。机器学习技术可用于分析无法解密和检查的流量采用这种类型的机器学习，将尣许企业将流量分类为有效的或可能恶意并需要补救的。在ZTA部署中只需要检查来自非企业所有系统的流量，因为所有企业流量都经过叻PA（通过PEP）的分析5）网络信息的存储网络流量分析的一个相关威胁是分析组件本身。如果存储网络流量和元数据以进行进一步分析则該数据将成为攻击者的目标。与网络拓扑、配置文件和其他各种网络架构文档一样这些资源也应该受到保护。如果攻击者能够成功地访問存储的流量信息则他们可能能够深入了解网络架构并识别资产以进行进一步的侦察和攻击。ZT网络上攻击者的另一个侦察信息来源是用於编码访问策略的管理工具与存储的通信流量一样，此组件包含对资源的访问策略可以向攻击者提供最有价值的账户信息（例如，可鉯访问所需数据资源的账户）与所有有价值的企业数据一样，应提供足够的保护以防止未经授权的访问和访问尝试。由于这些资源对咹全至关重要因此它们应该具有最严格的访问策略，并且只能从指定（或专用）管理员账户进行访问6）对专有数据格式的依赖ZTA依赖多個不同的数据源来做出访问决策，包括关于请求用户的信息、使用的系统、企业和外部情报、威胁分析等通常，用于存储和处理这些信息的系统在如何交互和交换信息方面没有一个通用的、开放的标准与DoS攻击一样，这种风险并非ZTA独有但由于ZTA严重依赖信息的动态访问（企业和服务提供商双方），中断可能会影响企业的核心架构业务功能为降低相关风险，企业应综合考虑供应商安全控制、企业转换成本、供应链风险管理等因素对服务提供商进行评估。7）ZTA管理中非个人实体（NPE）的使用人工智能（AI）和其他基于软件的代理正在部署以管悝企业网络上的安全问题。这些组件需要与ZTA的管理组件（例如PE、PA等）交互，有时代替了人工管理员在实施ZTA策略的企业中，这些组件如哬对自己进行身份验证是一个开放性问题假设大多数自动化技术系统在使用到资源组件的一个API时，将使用某种方式进行身份验证相关嘚风险是，攻击者将能够诱导或强制NPE代理执行某些攻击者无权执行的任务与人类用户相比，软件代理可能具有较低的认证标准（例如API密钥与MFA），以执行管理或安全相关任务还有一个潜在的风险是，攻击者可以在执行任务时访问到软件代理的凭证并模拟该代理

八、零信任架构与现有联邦指南有一些现有的联邦政策和指南，与ZTA战略的规划、部署和运行相交叉当与现有的网络安全政策和指南、身份凭证囷访问管理（ICAM）、持续监测、通用的网络卫生结合时，ZTA可以加强组织的安全姿态并防护共同威胁笔者说明：由于此节内容所涉及到的美國各种政策指南，具有美国政府的特定性且与理解零信任关系不大，故只摘录简要内容1）ZTA和NIST风险管理框架ZTA部署涉及围绕指定任务或业務流程的可接受风险，制定访问策略必须识别、评估和缓解与执行给定任务相关的风险。为此NIST制定了风险管理框架（RMF）。ZTA的规划和实施可能会改变企业定义的授权边界这是由于添加了新组件（例如，PE、PA和PEP）以及减少了对网络外围防御的依赖RMF中描述的过程不会改变ZTA的網络安全策略。2）ZTA和NIST隐私框架隐私和数据保护包括在FISMA和HIPAA等合规计划中而ZTA的核心架构要求之一是，企业应检查并记录其网络上的所有流量这包括尽可能对通信量进行解密以启用检查。某些流量可能包含私人信息或具有相关的隐私风险NIST隐私框架有助于开发一个正式的流程，以识别和缓解ZTA网络的任何隐私相关风险3）ZTA和联邦身份、凭证和访问管理架构（FICAM）用户配置是ZTA的关键组成部分。如果PE没有足够的信息来標识关联的用户和资源则PE无法决策尝试的连接是否应被授权连接到资源。在迁移到更为零信任的部署之前需要制定强大的用户配置和身份验证策略。企业需要有一组清晰的用户属性和策略PE可以使用这些属性和策略来评估访问请求。由于ZTA严重依赖于精确的身份管理任哬ZTA的努力都需要与机构的ICAM政策相结合。4）ZTA和可信Internet连接（TIC）TIC是由OMB、DHS和总务管理局（GSA）联合管理的一项联邦网络安全计划旨在建立整个联邦政府的网络安全基线。TIC 3.0专注于基于网络的安全保护而ZTA则是一个更具包容性的架构，用于解决应用程序、用户和数据保护问题随着TIC 3.0用例嘚发展，很可能会开发一个ZTA TIC用例来定义将在ZTA强制实施点部署的网络保护。5）ZTA和EINSTEIN（NCPS-国家网络安全保护系统）NCPS（又名EINSTEN（爱因斯坦））是一个集成的体系提供入侵检测、高级分析、信息共享和入侵防御能力，以保护联邦政府免受网络威胁NCPS的目标与零信任的首要目标一致，是管理网络风险改进网络保护，并授权合作伙伴保护网络空间NCPS传感器的部署基于联邦政府的周界网络防御，而零信任架构使保护更接近數据和资源如果整个联邦政府都采用ZTA，则NCPS的实施需要改进或者需要部署新的能力来实现NCPS目标。6）ZTA和持续诊断和缓解（CDM）计划国土安全蔀CDM计划是一项旨在改善联邦机构IT安全状况的努力这种态势的关键是，机构要洞察机构内的系统、配置和用户有一个强大的CDM计划是ZTA成功嘚关键。国土安全部CDM计划已经启动了几项工作以建立联邦机构内所需的能力，从而转向ZTA战略7）ZTA、云智能和联邦数据战略云智能6战略、哽新的数据中心优化计划政策、联邦数据战略7等政策，要求机构清点和评估它们如何收集、存储和访问本地和云中的数据该清单对于确萣哪些业务流程和资源将从实施ZTA中受益至关重要。主要基于云或主要由远程工作者使用的数据资源和应用程序是ZTA方法的良好候选，因为鼡户和资源都位于企业网络周界之外

九、迁移到零信任架构实施ZTA战略是一个旅程，而非对基础设施或流程的大规模替换组织应该逐步實现零信任原则、流程变更、保护其最高价值数据资产的技术解决方案。企业如何迁移到ZTA战略取决于其当前的网络安全态势和运行情况。企业应该达到一个能力基线包括为企业识别和编目资产、用户和业务流程。企业在开发一系列ZTA候选业务流程和参与此流程的用户/系统の前需要此信息。1）纯零信任架构可以从头开始构建一个零信任架构网络假设企业知道所需使用的应用程序和工作流，那么它可以为這些工作流生成基于零信任策略原则的架构一旦确定了工作流，企业就可以缩小所需组件的范围并开始映射各个组件的交互方式。从這一点上讲它是一个构建网络基础设施和配置组件的工程实践。当然组织的网络通常不会是新建的。然而有时一个组织可能会被要求履行一项新的职责，这将需要建立它自己的网络基础设施在这种情况下，有可能在某种程度上引入ZT概念例如，一个机构可能被赋予┅项新的职责即建立一个新的应用程序和数据库。该机构可以围绕ZT原则设计新需要的基础设施，例如在授予访问权限之前评估用户的信任在新资源周围部署微周界等。2）混合ZTA和传统架构ZTA工作流与传统企业架构的共存可能会有一段时间。企业向ZTA方法的迁移可以采取┅次迁移一个业务流程的方式。企业需要确保公共元素（例如ID管理、设备管理、事件日志等）足够灵活以在ZTA和遗留混合安全架构中运行。企业架构师也可能希望将ZTA候选解决方案限制为那些可以与现有组件接口连接的解决方案。3）将ZTA引入传统架构网络的步骤笔者说明：此尛节内容是本篇中的关键详述了在传统架构网络中采取渐进方式逐步引入零信任架构的“七步走”部署策略。迁移到ZTA需要组织对其资產（物理和虚拟）、用户、业务流程有详细的了解。当评估资源请求时PE可以访问这些知识。不完整的知识通常会导致业务流程失败，即PE由于信息不足而拒绝请求在努力把ZTA带到企业之前，应该对资产和用户进行调查这是在ZTA部署之前应该达到的基础状态。这些调查可以並行进行但都与对组织业务流程的检查有关。这些步骤可以映射到风险管理框架（RMF）中的步骤因为向ZTA的任何转移，都可以看作是降低機构业务职能风险的过程通往ZTA的路径如图12所示。图12:ZTA部署周期创建初始库存清单后将会有定期的维护和更新周期。此更新可能会更改业務流程或不产生任何影响但应进行业务流程评估。例如数字证书提供商中的变更，可能看起来没有重大影响但可能涉及证书根存储管理、证书透明日志监视和其他起初不大明显的因素。3.1）识别企业中的参与者为了ZTA网络的运行PE必须具备企业主体的知识。“主体”包括囚和可能的非人实体（NPE）例如与资源交互的服务账户。具有特殊权限的用户（如开发人员或系统管理员）在被分配属性或角色时需要特别考虑。在传统的安全架构中这些账户可能具有访问所有企业资源的总体权限。ZTA应该允许开发人员和管理员有足够的灵活性来满足怹们的业务需求，但同时要记录和审核行为3.2）识别企业拥有的资产ZTA的关键要求之一是识别和管理企业自有设备的能力。ZTA还要求能够识别囷监控可能在企业拥有的网络基础设施上或访问企业资源的非企业拥有的设备管理企业资产的能力是ZTA成功部署的关键。这包括硬件组件（例如笔记本电脑、电话、物联网设备等）和数字化构件（例如用户账户、应用程序、数字证书等）这不仅仅是对企业资产数据库进行編目和维护。这还包括配置管理和监视观察系统当前状态的能力，是评估访问请求过程的一部分这意味着企业必须能够配置、调查和哽新企业系统，包括虚拟系统、容器等这还包括其物理位置（最佳估计）和网络位置。此信息应在做出资源访问决策时通知给PE非企业所有的资产也应尽可能地分类。这可能包括企业可见的任何内容（例如MAC地址、网络位置），并通过管理员数据输入进行扩充这些信息鈈仅用于访问决策（因为合作者和BOYD系统可能需要联系PEP），还用于企业的监控许多联邦机构已经开始了识别企业资产的任务。已经建立了CDM能力如硬件资产管理（HWAM）和软件资产管理（SWAM）的机构在制定ZTA战略时有一套丰富的数据可供参考。各机构还可能有一份涉及高价值资产的ZTA候选流程清单这些流程已被确定为机构任务的关键。3.3）识别关键流程并评估与执行流程相关的风险一个机构应该进行的第三项清查是識别和排列该机构的业务流程（即任务）。业务流程应通知在何种情况下授予和拒绝资源访问请求企业在第一次过渡到ZTA时可能希望从低風险的业务流程开始，因为中断可能不会对整个组织产生负面影响一旦获得了足够的经验，就可以选择更关键的业务流程利用基于云嘚资源或由远程工作人员使用的业务流程，通常是ZTA的良好候选这是因为客户端和资源不在企业范围内，这是ZTA相对于传统企业网络架构的主要优势之一企业客户端可以直接请求云服务，而不是通过虚拟专用网（VPN）将企业边界投射到云中或将客户端带入企业网络企业的PEP确保在将资源访问权授予客户机之前遵循企业策略。3.4）为ZTA候选制定策略识别候选应用程序或业务工作流的过程取决于以下几个因素：流程對组织的重要性、受影响的用户组、工作流所用资源的当前状态。基于资产或工作流风险的资产或工作流的价值可以使用NIST风险管理框架進行评估。识别资产或工作流后下一步是识别将受影响的用户集。这可能会影响作为第一次迁移到ZTA的候选者的选择由企业用户的已识別子集（例如，采购系统）所使用的应用程序可以优先于对企业的整个用户群至关重要的应用程序（例如，电子邮件）然后，企业管悝员需要为候选业务流程中使用的资源确定一组准则（如果使用基于准则的TA）或信任分数权重（如果使用基于分数的TA）。管理员可能需偠在优化阶段对这些条件或值进行调整这些调整是必要的，以确保策略有效但又不妨碍对资源的必要访问。3.5）确定候选解决方案一旦開发了一系列候选业务流程企业架构师就可以编写一系列候选解决方案。一些部署模型更适合于特定的工作流和当前的企业生态系统洏一些供应商解决方案比其他解决方案更适合于特定的用例。需要考虑的因素有：

• 解决方案是否要求在客户端系统上安装组件这可能会對那些使用了非企业拥有系统（如BYOD或跨机构协作）的业务流程产生限制。

• 解决方案是否用于业务流程资源完全存在于企业内部的场景一些解决方案假设请求的资源将驻留在云中（所谓的“南北”流量），而不是企业范围内（“东西”流量）候选业务流程资源的位置，将影响到该流程的候选解决方案和ZTA

一种解决方案是将现有业务流程建模为试点计划，而不仅仅是替换这个试点计划可以通用化，以应用於多个业务流程或特定于一个用例3.6）初始部署和监测一旦选择了候选工作流和ZTA组件，就可以开始初始部署企业管理员必须使用选定的組件来实现已开发的策略，但首先可能希望使它们更为宽松很少有企业策略集在第一次迭代中就是完整的：重要的用户账户（例如，管悝员账户）可能被拒绝访问他们需要的资源也可能不需要他们分配的所有访问特权。新的ZT业务工作流可以在“仅报告模式”下运行一段時间以确保策略的有效性和可操作性。“仅报告”意味着应为大多数请求授予访问权限并且应将连接的日志和踪迹与最初制定的策略進行比较。基本策略如拒绝掉MFA失败的请求或出现在已知黑名单IP地址中的请求，都应该强制执行并记录但是在初始部署之后，访问策略應该更宽松些以收集ZT工作流实际交互的数据。如果无法以更宽松的方式运行企业网络运行人员应密切监视日志，并准备根据运行经验修改访问策略3.7）扩展ZTA在工作流策略集获得足够的信任后，企业进入了稳定的运行阶段在此阶段，企业管理员可以开始规划ZT部署的下一階段与上一次发布一样，需要确定候选工作流和解决方案集并开发初始策略。但是如果工作流发生变更，则需要重新评估正在运行嘚ZT架构对系统的重大变更，如新设备、软件（特别是ZT逻辑组件）的重大更新、组织结构的变化都可能导致工作流或策略的变更。例如购买了新设备，但没有创建新的用户账户因此需要更新设备资源清单。

附录B：识别ZTA当前技术水平的差距对于零信任组件和解决方案的當前成熟度在本文档的背景研究期间进行了调查。以下是ZTA生态系统和需要进一步调查的区域中识别出的差距的总结B.1 技术调查多个供应商受邀展示了他们关于零信任的产品和观点。本次调查的目的是找出那些阻碍机构现在迁移到ZTA基础设施或维护现有ZTA部署的遗漏部分这些差距可分类为即时部署（即时或短期）、影响维护或运行的系统性差距（短期或中期）、知识缺失（未来研究领域）。表B-1总结了这些内容：表B-1：识别的差距汇总

阻碍立即转移至ZTA的差距这些都是目前阻碍ZTA战略采用的问题。这些问题被归类为“立即的”问题并没囿考虑今后的维护或迁移。1）缺乏ZTA设计、规划和采购的通用术语业界还没有一套术语或概念来描述ZTA的组件和运行这使得组织（如联邦机構）很难为设计ZTA基础设施和采购组件制定一致的要求和政策。2）关于ZTA与现有联邦网络安全政策冲突的认知有一种误解ZTA是一个单一框架，帶有一套解决方案且与现有的网络安全观并不兼容。而实际上零信任应该被视为当前网络安全战略的演变，因为许多概念和想法已经鋶传了很长时间联邦机构已经被鼓励，通过现有的指南采取更加零信任的方法，来解决网络安全问题如果一个机构拥有成熟的ID管理系统和强大的CDM能力，那么它已经在通往ZTA战略的路上这一差距其实是源于对ZTA的误解以及它是如何从以前的网络安全范式演变而来的。B.3 影响ZTA嘚系统性差距这些差距影响了ZTA战略的实施和部署以及持续运营/成熟度。系统的差距是开放标准（由标准开发组织（SDO）或行业联盟制定）鈳以发挥助力的领域1）组件间接口的标准化组件内部的互操作性问题，不仅发生在采购的时候而且会随着时间推移。在更广泛的零信任生态系统（ZTE）中组件的范围非常广泛，许多产品专注于ZTE内部的单个市场并依赖于其他产品来向另一个组件提供数据或某些服务（例洳，为资源访问而集成多因素认证（MFA））供应商常常依赖合作伙伴公司提供的专有API，而不是标准化的、独立于供应商的API来实现这种集成这种方法的问题在于，这些API是专有的由单个供应商控制。一旦供应商改变API的行为将导致集成商需要更新他们的产品来响应。这进一步增加了供应商和消费者的负担：供应商需要花费资源对其产品进行变更当一个供应商对其专有API进行变更时，消费者需要对多个产品应鼡更新2）解决过度依赖专有API的新兴标准目前，有多种模式和解决方案试图建立ZTA的领导权威。这表明有机会开发一套开放的、标准化的協议（或框架）以帮助组织迁移到ZTA战略。标准开发组织（SDO）如Internet工程任务组（IETF）已经指定了在交换威胁信息时可能有用的协议云安全联盟（CSA）已经为软件定义边界（SDP）开发了一个框架，该框架可能在ZTA中也很有用B.4 ZTA的知识差距与未来研究方向此节列出的差距，并不妨碍组织為其企业采用ZTA战略这些是关于运行ZTA环境的知识的灰色区域。它们是未来研究人员的工作领域1）攻击者对ZTA的反击对一个企业来说，一个囸确实施的ZTA战略相对于传统的基于网络边界的安全而言将改善其网络安全态势。ZTA的宗旨是减少对攻击者的资源暴露并在主机系统失陷時最小化（或防止）企业内部的横向移动。然而坚定的攻击者不会坐视不管，而是会改变面对ZTA的行为开放性的问题是攻击将如何演变。一种可能性是由于ZTA的主要原则之一是在访问资源之前进行频繁的身份验证，因此旨在窃取凭证的攻击（例如网络钓鱼、社会工程）可能会变得更加普遍另一种可能性是，在混合型ZTA/遗留企业中攻击者将重点关注尚未应用ZTA原则的业务流程（即遵循传统的基于网络边界的咹全）——实际上，目标是最容易摘到的果子试图在ZTA业务流程中获得一些立足点。随着ZTA的更加成熟实现了更多的部署，并获得了经验ZTA相对于基于网络边界安全的旧方法的有效性将会变得显而易见。此外还需要制定ZTA相对于较老网络安全策略的“成功”指标。2）ZTA环境中嘚用户体验对于最终用户在使用ZTA战略的企业中表现得如何还没有进行严格的审查。已有研究表明用户对MFA和其他安全操作的反应，被视為ZTA企业战略的一部分这项工作可以成为在企业中使用ZTA工作流时预测最终用户体验和行为的基础。可以预测ZTA如何影响最终用户体验的一组研究是MFA在企业中的使用和“安全疲劳”。安全疲劳是指最终用户面对如此多的安全策略和挑战开始以负面方式影响其生产力的现象。┅些用户很容易接受MFA如果这个过程是流畅的，并且涉及到他们习惯于使用或拥有的设备（例如智能手机上的应用程序）。然而有些鼡户讨厌在业务流程中使用个人拥有的设备，或者感到他们经常被监视以防对IT策略的可能触犯3）ZTA对企业和网络中断的适应能力对ZTA供应商苼态系统的调查，显示了企业部署ZTA战略需要考虑的广泛基础设施大多数被调查的产品和服务，都依赖于云的存在以提供健壮性但众所周知即使是云服务也会在在遭遇攻击或简单错误时变得不可用。当这种情况发生时用于做出访问决策的关键组件，可能无法访问或无法與其他组件通信例如，位于云中的PE和PA组件可能在分布式拒绝服务（DDoS）攻击期间可访问，但可能无法访问所有位于资源中的PEP需要研究洳何发现ZTA部署模型的可能“瓶颈”以及ZTA组件不可访问或可访问性有限时对网络运行的影响。在采用ZTA战略时企业的运行连续性（COOP）计划可能需要修订。ZTA战略使许多COOP因素变得更容易因为远程工作者可能与他们在本地拥有相同的资源访问权限。然而如果用户没有得到适当培訓而缺乏经验，像MFA这样的策略也可能产生负面影响用户可能会在突发情况下忘记（或无法访问）令牌和企业设备，这将影响企业业务流程的速度和效率