零信任热中的冷思考

近几年来,零信任(Zero Trust,ZT)成为网络安全领域的一个热点话题,甚至被很多人视为网络安全领域的“压倒性”技术趋势。零信任概念最初见于1994年的一篇博士论文,后因2010年咨询公司Forrester的大力宣传而被公众所熟知。2020年8月,美国国家标准与技术研究院发布的《零信任架构》定义零信任为一系列概念和思想,旨在面对信息系统和服务中受损的网络时,在按请求执行准确的、最小权限的访问决策过程中,减少不确定性。2021年9月7日,美国政府管理和预算办公室(OMB)及国土安全部网络安全和基础设施安全局(CISA)先后发布了《联邦政府向零信任迁移的原则》和《零信任成熟度模型》。美国政府将其冠名为“战略”,引发世界各国对其可能实施网络安全重大行动或布局网络安全重要技术的强烈关注。