本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 零信任架构的关键组件
<a name="components"></a>

为了有效实施零信任架构（ZTA）策略，贵组织必须了解构成 ZTA 的关键组件。这些组件协同工作，以持续改进符合零信任原则的全面安全模型。本节介绍了 ZTA 的这些关键组件。

## Identity and access management
<a name="iam"></a>

身份和访问管理通过提供可靠的用户身份验证和粗略访问控制机制，构成了 ZTA 的基础。它包括诸如单点登录（SSO）、多重身份验证（MFA）以及身份治理和管理解决方案等技术。身份和访问管理可提供高级别的身份验证保障和重要上下文，这些对于做出零信任授权决策是不可或缺的。同时，ZTA 是一种安全模型，在这种模型中，对应用程序和资源的访问权限是按用户、按设备和按会话授予的。这样有助于保护组织免受未经授权的访问，即使用户的凭证遭到泄露也是如此。

## 安全访问服务边缘
<a name="sase"></a>

安全访问服务边缘（SASE）是一种新的网络安全方法，它将网络和安全功能虚拟化、组合和分发到一个基于云的单一服务中。无论用户身在何处，SASE 都可以提供对应用程序和资源的安全访问。

SASE 包括各种安全功能，例如安全 Web 网关、防火墙即服务和零信任网络访问（ZTNA）。这些功能协同工作，以保护组织免受各种威胁，包括恶意软件、网络钓鱼和勒索软件。

## 数据丢失防护
<a name="dlp"></a>

数据丢失防护（DLP）技术可以帮助组织保护敏感数据免遭未经授权的信息泄露。DLP 解决方案监视和控制动态数据和静态数据。这样可以帮助组织定义和强制执行可防止与数据相关的安全事件的策略，从而帮助确保敏感信息在整个网络中受到保护。

## 安全信息和事件管理
<a name="siem"></a>

安全信息和事件管理（SIEM）解决方案从组织基础设施中的各种来源收集、聚合和分析安全事件日志。您可以使用此数据来检测安全事件，促进事件响应，并提供对潜在威胁和脆弱性的洞察。

特别是对于 ZTA，SIEM 解决方案关联和理解来自不同安全系统的相关遥测数据的能力对于改进对异常模式的检测和响应至关重要。

## 企业资源所有权目录
<a name="enterprise-resource-ownership-catalog"></a>

为了正确授予对企业资源的访问权限，组织必须有一个可靠的系统来对这些资源进行编目，更重要的是，要知道谁拥有这些资源。此事实来源需要提供工作流，以促进访问请求、相关审批决策及其定期认证。随着时间的推移，此事实来源将包含组织内部“谁可以访问什么？” 的答案。您可以将答案用于授权、审核和合规性。

## 统一端点管理
<a name="unified-endpoint-management"></a>

除了对用户进行强制身份验证外，ZTA 还必须考虑用户设备的运行状况、状况和状态，以评测公司数据和资源访问是否安全。统一端点管理（UEM）平台提供以下功能：
+ 设备预调配
+ 持续的配置和补丁管理
+ 安全基线
+ 遥测报告
+ 设备清理和停用

## 基于策略的执行点
<a name="policy-based-enforcement-points"></a>

在 ZTA 中，对每个资源的访问应由基于门控策略的执行点明确授权。最初，这些执行点可以基于现有网络和身份系统中的现有执行点。通过考虑由 ZTA 提供的更广泛的上下文和信号，可以逐步提高执行点的功能。从长远来看，贵组织应实施特定于 ZTA 的执行点，这些执行点在融合上下文上运行，始终如一地集成信号提供程序，维护全面的策略集，并通过从组合遥测中收集的情报进行增强。

## 章节摘要
<a name="components-summary"></a>

了解这些关键组件对于计划采用 ZTA 的组织具有至关重要的意义。通过实施这些组件并将其集成到一个内聚安全模型中，贵组织可以基于零信任原则建立强大的安全状况。以下各节探讨了组织就绪性、分阶段采用方法和最佳实践，以帮助您在组织内成功实施 ZTA。