CISA发布的零信任成熟度模型（ZTMM）v2.0将零信任分为五个支柱，每个支柱有四个成熟度等级。该模型旨在帮助组织评估零信任实施的进展，识别弱项并设定优先级。ZTMM适用于美国联邦机构，私营企业需灵活调整。模型不提供量化指标或成本分析，强调长期目标为达到高级成熟度。

本文分析了NIST SP 800-207零信任架构，重点讨论逻辑组件模型、信任算法及三种部署变体。核心组件包括策略执行点（PEP）和策略决策点（PDP），二者需逻辑分离以确保安全。信任算法的输入源多样，决策模型包括基于条件、分数和上下文的评估。NIST在工程决策中留白，涉及状态管理和策略传播延迟等，需根据组织环境灵活选择。

零信任数据安全强调保护数据而非仅依赖网络和身份验证。其关键原则包括最小权限数据库授权、应用层加密和有效的密钥管理。数据分类标签有助于细化访问控制，确保敏感数据的安全。通过分离数据加密密钥（DEK）和密钥加密密钥（KEK），并实施严格的身份验证，进一步增强数据保护。

零信任认证模型动态调整信任分数，可能随时降级或撤销会话。传统模型在现代威胁下不再适用，需采用持续验证模式。该模式包括事件驱动、周期性和请求粒度三种方式，各自具有不同的安全性和性能开销。会话降级策略如权限衰减、步骤认证和会话撤销，旨在平衡用户体验与安全性。信号源的更新频率和可靠性对持续验证效果有重要影响。

微分段技术将网络划分为细粒度的安全区域，实现精确的访问控制，确保服务间的安全通信。实施过程包括可观测性、粗粒度分段、细粒度服务级策略和L7精确策略。尽管管理成本较高，但需在安全性与运维成本之间找到平衡，选择合适的技术栈（如Cilium、Istio）以满足不同规模和需求的安全策略。

零信任安全架构强调在每次资源访问时记录决策，生成大量安全日志。文章介绍了三层日志：PDP决策日志、证书和身份生命周期日志、微分段事件日志，并提出特定检测规则以识别异常行为。通过SIEM和SOAR实现自动化响应，确保安全事件的及时处理，同时讨论了日志存储成本及管理策略。

零信任策略引擎需要处理身份、设备、网络、行为和时间等多个输入维度，并在高频率下做出决策。NIST SP 800-207 提出了四个核心维度，复杂性来自于多维组合。OPA 和 Cedar 各有优缺点，OPA 适合动态输入，而 Cedar 优先采用拒绝策略以减少冲突。策略变更需谨慎，以确保不影响用户访问。

Google的BeyondCorp项目是零信任安全架构的重要实践，历时七年，记录了2011年至2018年的演变。该项目源于2009年的APT攻击，促使Google重新思考安全架构，提出不再依赖内网信任的模型。六篇论文详细阐述了架构设计、实施路径、用户体验及设备健康管理等关键问题，强调了逐步迁移和用户适应的重要性。BeyondCorp的成功在于其系统化的工程实践和对安全基础设施的深刻理解。

零信任架构要求持续验证设备的安全状态，依赖TPM和操作系统信号。TPM提供硬件信任根，PCR作为系统的加密指纹，确保启动过程的可信性。osquery用于实时采集操作系统的安全状态。信任分数模型评估设备合规性，Google的BeyondCorp采用等级模型明确访问权限，设备姿态信号需多层次验证以防伪造。

新组织可以直接构建零信任架构，而历史组织需要处理遗留系统的迁移。迁移策略包括侧车代理、反向代理、身份桥接和协议适配器。切流应逐步进行，关注用户群、地理位置和应用类型。迁移需要多个团队协作，特别是应用团队需理解mTLS和身份模型，以确保成功实施。

零信任理论面临AI代理身份、边缘计算和后量子密码学的挑战。AI代理需要解决权限粒度问题，边缘设备在间歇性连接和资源受限的情况下需改进证书管理。随着后量子密码学标准的发布，加密基础设施也需更新。整体上，零信任原则需针对新场景进行重新设计。

本文讨论了mTLS在多集群和混合云环境中的工程问题，重点介绍了SPIRE联邦的证书互信机制、根CA的零停机轮换方案以及mTLS握手性能优化。通过双CA过渡策略和证书缓存机制，确保了高效的服务间安全连接，并提供了故障排查路径和工具，帮助运维人员解决常见的mTLS问题。

2020年SolarWinds攻击通过篡改软件构建管道，导致超过18000个组织被植入后门。为提高软件供应链安全，Google推出了SLSA框架，定义了四个安全等级。Sigstore提供无密钥签名，简化开发者的私钥管理。通过SPIFFE/SPIRE，CI/CD管道中的每个步骤都有独立身份，确保安全。SBOM用于验证组件依赖，增强零信任架构。

Google的身份感知代理（IAP）通过将认证和授权逻辑从应用中剥离，简化了内部Web应用的安全管理。IAP作为反向代理，处理用户身份验证，并将已验证的身份信息传递给后端应用。其核心优势在于应用无需修改即可实现安全控制，支持OAuth2认证和IAM权限检查。Pomerium和oauth2-proxy是IAP的开源替代方案，提供灵活的授权策略和简单的认证功能。选择合适的IAP解决方案需根据具体需求评估。