零信任架构强调每次访问需基于实时信号独立判断，摒弃对网络位置和默认权限的信任。文章探讨了零信任的关键问题，包括验证机制的统一、微分段的合理性、遗留系统的迁移策略及自建与采购的决策，适合安全工程师、架构师和技术负责人阅读，以推动组织的安全转型。

CISA发布的零信任成熟度模型（ZTMM）v2.0将零信任分为五个支柱，每个支柱有四个成熟度等级。该模型旨在帮助组织评估零信任实施的进展，识别弱项并设定优先级。ZTMM适用于美国联邦机构，私营企业需灵活调整。模型不提供量化指标或成本分析，强调长期目标为达到高级成熟度。

2020年代，企业工作负载大规模迁移至SaaS应用，安全边界转向API和身份配置。传统安全团队对SaaS的控制有限，存在权限过度分享、休眠账户和OAuth权限滥用等问题。SSPM和CASB可帮助审计和实时管理SaaS安全。云IAM需定期降权并使用外部身份源统一管理。Kubernetes的NetworkPolicy管理在集群增多时变得复杂，需通过GitOps和合规扫描确保一致性。同时，Shadow IT问题需通过CASB和SSO日志分析发现。

零信任安全架构强调在每次资源访问时记录决策，生成大量安全日志。文章介绍了三层日志：PDP决策日志、证书和身份生命周期日志、微分段事件日志，并提出特定检测规则以识别异常行为。通过SIEM和SOAR实现自动化响应，确保安全事件的及时处理，同时讨论了日志存储成本及管理策略。

本文分析了NIST SP 800-207零信任架构，重点讨论逻辑组件模型、信任算法及三种部署变体。核心组件包括策略执行点（PEP）和策略决策点（PDP），二者需逻辑分离以确保安全。信任算法的输入源多样，决策模型包括基于条件、分数和上下文的评估。NIST在工程决策中留白，涉及状态管理和策略传播延迟等，需根据组织环境灵活选择。

零信任理论面临AI代理身份、边缘计算和后量子密码学的挑战。AI代理需要解决权限粒度问题，边缘设备在间歇性连接和资源受限的情况下需改进证书管理。随着后量子密码学标准的发布，加密基础设施也需更新。整体上，零信任原则需针对新场景进行重新设计。

微分段技术将网络划分为细粒度的安全区域，实现精确的访问控制，确保服务间的安全通信。实施过程包括可观测性、粗粒度分段、细粒度服务级策略和L7精确策略。尽管管理成本较高，但需在安全性与运维成本之间找到平衡，选择合适的技术栈（如Cilium、Istio）以满足不同规模和需求的安全策略。

ZTNA（零信任网络访问）和SDP（软件定义边界）是两种网络安全模型。ZTNA替代VPN，解决了其授权、认证和隐私问题。SDP通过单包授权、双向认证和应用级隧道实现安全访问。ZTNA有基于代理和无代理两种模式，前者安全性高但运维复杂，后者轻便。自建ZTNA可行但运维成本高，选择方案时需考虑企业规模和安全需求。

零信任认证模型动态调整信任分数，可能随时降级或撤销会话。传统模型在现代威胁下不再适用，需采用持续验证模式。该模式包括事件驱动、周期性和请求粒度三种方式，各自具有不同的安全性和性能开销。会话降级策略如权限衰减、步骤认证和会话撤销，旨在平衡用户体验与安全性。信号源的更新频率和可靠性对持续验证效果有重要影响。

本文对Google的BeyondCorp、美国联邦政府的EO 14028和金融服务行业的零信任架构实施进行了对比分析。Google经历了七年的迁移，强调身份统一的重要性。美国政府在行政命令的推动下推进零信任，但面临遗留系统和预算挑战。金融行业因监管要求优先实施特权访问管理。三个案例表明，身份系统的统一是成功迁移的关键。

零信任数据安全强调保护数据而非仅依赖网络和身份验证。其关键原则包括最小权限数据库授权、应用层加密和有效的密钥管理。数据分类标签有助于细化访问控制，确保敏感数据的安全。通过分离数据加密密钥（DEK）和密钥加密密钥（KEK），并实施严格的身份验证，进一步增强数据保护。

本文讨论了mTLS在多集群和混合云环境中的工程问题，重点介绍了SPIRE联邦的证书互信机制、根CA的零停机轮换方案以及mTLS握手性能优化。通过双CA过渡策略和证书缓存机制，确保了高效的服务间安全连接，并提供了故障排查路径和工具，帮助运维人员解决常见的mTLS问题。

2020年SolarWinds攻击通过篡改软件构建管道，导致超过18000个组织被植入后门。为提高软件供应链安全，Google推出了SLSA框架，定义了四个安全等级。Sigstore提供无密钥签名，简化开发者的私钥管理。通过SPIFFE/SPIRE，CI/CD管道中的每个步骤都有独立身份，确保安全。SBOM用于验证组件依赖，增强零信任架构。

零信任策略引擎需要处理身份、设备、网络、行为和时间等多个输入维度，并在高频率下做出决策。NIST SP 800-207 提出了四个核心维度，复杂性来自于多维组合。OPA 和 Cedar 各有优缺点，OPA 适合动态输入，而 Cedar 优先采用拒绝策略以减少冲突。策略变更需谨慎，以确保不影响用户访问。

Google的BeyondCorp项目是零信任安全架构的重要实践，历时七年，记录了2011年至2018年的演变。该项目源于2009年的APT攻击，促使Google重新思考安全架构，提出不再依赖内网信任的模型。六篇论文详细阐述了架构设计、实施路径、用户体验及设备健康管理等关键问题，强调了逐步迁移和用户适应的重要性。BeyondCorp的成功在于其系统化的工程实践和对安全基础设施的深刻理解。

新组织可以直接构建零信任架构，而历史组织需要处理遗留系统的迁移。迁移策略包括侧车代理、反向代理、身份桥接和协议适配器。切流应逐步进行，关注用户群、地理位置和应用类型。迁移需要多个团队协作，特别是应用团队需理解mTLS和身份模型，以确保成功实施。

Google的身份感知代理（IAP）通过将认证和授权逻辑从应用中剥离，简化了内部Web应用的安全管理。IAP作为反向代理，处理用户身份验证，并将已验证的身份信息传递给后端应用。其核心优势在于应用无需修改即可实现安全控制，支持OAuth2认证和IAM权限检查。Pomerium和oauth2-proxy是IAP的开源替代方案，提供灵活的授权策略和简单的认证功能。选择合适的IAP解决方案需根据具体需求评估。