云安全联盟：NIST零信任架构

零信任（Zero Trust，缩写 ZT）是一组不断演进的网络安全范式，它将网 络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任 架构（ZTA）使用零信任原则来规划企业基础设施和工作流。零信任取消了传统 基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备 权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的 独立步骤。零信任顺应了企业网络发展的趋势：位于远程的用户和基于云的资产， 这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是 网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架 构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的 通用部署模型和使用案例。