网络安全的发展和创新演进是十分复杂的过程,表现为理论、方法、框架、技术、产品、算法等多种能力升级迭代,涉及用户、安全厂商、IT厂商、研究机构和政府等多类主体,包含对抗、供需、监管、合作、竞争、共享等多种复杂关系。
这种复杂性导致网络安全创新规律需要从全局出发、整体分析,既要总结历史经验教训,又要研判未来演化趋势;既要借鉴国际先进理念和成果,又要立足国内实际情况,才能更加全面的看清规则的发展情况。
零信任理念最早源于2004年成立的耶利哥论坛,目的是寻求网络无边界化趋势下的全新安全架构及解决方案。在这种全新的架构中,所有系统都应保护自身免受网络威胁,并能够处理全球范围内的身份验证和授权等功能,而无需每个单独的服务器都具备以上功能。从用户角度来看,单点登录等功能将成为可能。2010年,约翰·金德维格(John Kindervag)首次提出了零信任这一术语,认为零信任本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的安全边界。
零信任打破了传统网络安全模式的防护机制,对网络边界安全进行全新的审视。其原则是不应该对任何外部或内部的人员、设备、应用等给予默认信任,而是基于认证、加密等安全技术本身进行信任授权。