零信任产业标准工作组：零信任实战白皮书

对于资源的访问保护，传统方式是划分安全区域，不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备，包括防火墙、IPS、防毒墙、WAF等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的（不安全的），没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制；安全区域内的用户默认都是可信的（安全的），对边界内用户的操作不再做过多的行为监测，但是这就在每个安全区域内部存在过度信任（认为是安全的，给予的权限过大）的问题。同时由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网（互联网），这种风险就更为明显。另外，随着云计算、物联网以及移动办公等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化，这给传统边界