零信任架构的三大技术 零信任架构就是在不可信的网络环境下重建信任，利用零信任概念和包含组件关系，制定工作流程规划和访问策略。基于零信任的企业网络安全策略原则，其目的是防止数据泄露并限制内部横向移动。其技术的本质是构建以身份为基石的业务动态可信访问控制机制。 2019年，美国国家标准委员会NIST对外正式发布了《零信任架构ZTA》白皮书，强调了零信任的安全理念，并介绍了实现零信任架构的三大技术“SIM”： SDP-软件定义边界; IAM-身份权限管理; MSG-微隔离; SDP-软件定义边界 SDP软件定义边界是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。意在使应用程序所有者能够在需要时部署安全边界，以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。仅在设备验证和身份验证后才允许访问企业应用基础架构。 体系结构则由两部分组成：SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理。因此，在 SDP 中，控制平面与数据平面分离以实现完全可扩展的系统。此外，为便于扩展与保证正常使用，所有组件都可以是多个实例的。 在使用中，每个服务器都隐藏在远程访问网关设备后面，在授权服务可见且允许访问之前用户必须对其进行身份验证。SDP 采用分类网络中使用的逻辑模型，并将该模型整合到标准工作流程中。 SDP的安全优势： 最小化攻击面降低安全风险; 通过分离访问控制和数据信道，保护关键资产和基础架构，从而阻止潜在的基于网络的攻击; 提供整个集成的安全体系结构，这一体系结构是现有的安全设备难以实现的; 提供基于连接的安全架构，而不是基于IP的替代方案。由于整个IT环境爆炸式的增长，云环境中的边界缺失使得基于IP的安全性变得脆弱; 允许预先审查控制所有连接，从设备、服务、设施可以进行连接，安全性方面是比传统的架构更有优势; IAM-身份权限管理 身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产，同时管理潜在的安全和合规风险。身份管理为所有用户，应用程序和数据启用并保护数字身份。 开发ZTA的增强的身份管理方法将参与者的身份作策略创建的关键组成部分。企业资源访问的主要要求基于授予给