本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解零信任原则
<a name="zero-trust-principles"></a>

零信任架构（ZTA）基于构成其安全模型基础的一组核心原理。了解这些原则对于希望有效采用 ZTA 策略的组织具有至关重要的意义。本节介绍了 ZTA 的核心原理。

## 验证和身份验证
<a name="verify-authenticate"></a>

验证和身份验证原则强调了对所有类型的主体（包括用户、计算机和设备）执行严格的识别和身份验证的重要性。ZTA 要求在整个会话中持续验证身份和身份验证状态，最好是针对每个请求进行验证。它不单单依赖于传统的网络位置或控制。这一点包括实施现代严格的多重身份验证（MFA），以及在身份验证过程中评估其他环境和上下文信号。组织通过采用这一原则，可以帮助确保资源授权决策具有尽可能最佳的身份输入。

## 最低权限访问
<a name="least-privilege-access"></a>

最低权限原则涉及到授予主体执行其任务所需的最低级别的访问权限。组织通过采用最低权限访问原则，可以强制执行精细的访问控制，这样主体只能访问履行其角色和职责所需的资源。这包括实施 just-in-time访问配置、基于角色的访问控制 (RBAC) 和定期访问审查，以最大限度地减少表面积和未经授权访问的风险。

## 微分段
<a name="micro-segmentation"></a>

微分段是一种网络安全策略，它将网络划分为更小的隔离分段，用于授权特定的流量。您可以通过创建工作负载边界并在不同分段之间实施严格的访问控制来实现微分段。

微分段可以通过网络虚拟化、软件定义网络 (SDN)、基于主机的防火墙、网络访问控制列表 () 以及诸如亚马逊弹性计算云 (Amazon EC2NACLs) 安全组或之类的特定 AWS 功能来实现。 AWS PrivateLink分段网关可控制不同分段之间的流量，以明确授权访问权限。微分段和分段网关可帮助组织限制通过网络的不必要路径，尤其是那些通往关键系统和数据的路径。

## 持续监控和分析
<a name="continuous-monitoring-analytics"></a>

持续监控和分析涉及到在整个组织的环境中收集、分析和关联与安全相关的事件和数据。贵组织通过实施可靠的监控和分析工具，从而能够以融合的方式评估安全数据和遥测数据。

该原则强调了解用户行为、网络流量和系统活动以识别异常和潜在安全事件的重要性。安全信息和事件管理（SIEM）、用户和实体行为分析（UEBA）以及威胁情报平台等高级技术在实现持续监控和主动威胁检测方面发挥着至关重要的作用。

## 自动化和编排
<a name="automation-orchestration"></a>

自动化和编排可帮助组织简化安全流程，减少人工干预，并缩短响应时间。贵组织通过自动执行日常安全任务和使用编排功能，可以强制执行一致的安全策略并快速响应安全事件。该原则还包括自动执行访问预置和取消预置流程，以帮助确保及时、准确地管理用户权限。通过采用自动化和编排，贵组织可以提高运营效率，减少人为错误，并将资源集中在更具战略性的安全计划上。

## Authorization
<a name="authorization"></a>

在 ZTA 中，访问资源的每个请求均应由门控实施点明确授权。除了经过身份验证的身份外，授权策略还应考虑其他上下文，例如设备运行状况和状态、行为模式、资源分类和网络因素。授权流程应根据与正在访问的资源相关的相应访问策略来评估这种融合的上下文。最理想的情况是，机器学习模型可以为声明性策略提供动态补充。使用时，这些模型应仅关注其他限制，且不应授予未明确指定的访问权限。

## 章节摘要
<a name="core-principles-summary"></a>

通过遵守 ZTA 的这些核心原理，组织可以建立与现代企业环境的多样性保持一致的强大安全模型。实施这些原则需要采用综合方法，将技术、流程和人员结合起来，以实现零信任思维方式并构建弹性安全状况。