1.1.4 Forrester对零信任概念的丰富

在2010年提出零信任概念后，Forrester一直不断完善零信任的概念。几年后，著名的分析师 Chase Cunningham 将之重新修订为零信任扩展生态系统（Zero Trust eXtended（ZTX） Ecosystem）。与原来的概念相比，ZTX将零信任架构的范围扩展到7个维度，整个模型更加丰富了，如图1-3所示。数据是零信任架构保护的核心目标。工作负载（Workload）、网络、设备和用户是“接触—数据”的管道，零信任架构围绕这些管道执行安全管控策略、展示安全态势。

图1-3

下面依次介绍ZTX包含的7个维度的内容。

（1）数据：ZTX应当对整个数据生命周期进行保护。基于用户、设备、环境等多种因素进行综合评估后，执行数据分类、加密、访问控制安全措施。数据泄密防护（D Prevention，DLP）也应当属于零信任架构的一部分。

（2）网络：ZTX应当对用户和服务器分别进行网络隔离，基于身份和环境属性，提供细粒度访问控制。传统网络安全模型中的边界安全产品也应当在零信任架构中发挥作用。

（3）用户：ZTX包含身份管理功能，通过多因子认证、单点登录等策略，减少与用户身份相关的威胁。

（4）工作负载：工作负载指承载业务服务的基本组件单元，例如，传统的物理机、虚拟机，现在的云主机、Docker容器、微服务等。ZTX对各种场景下的工作负载进行统一的细粒度访问控制，阻断非必要的连接。

（5）设备：ZTX对设备的管理包括设备清单管理、设备认证、设备检查与修复、设备隔离等。ZTX应当持续感知设备的安全状态，根据安全策略限制设备对数据资源的访问，确保只有安全的设备才能接入网络。

（6）可见性与分析：ZTX应当支持对多个来源的身份信息、环境信息、安全信息进行综合分析，并进行可视化呈现。

（7）自动化与编排：ZTX应该能够通过机器学习或规则匹配自动识别安全事件，通过安全策略编排，与各类安全设备联动，自动对安全事件进行响应。

从上面的介绍可以看出，ZTX的内涵已经相当丰富了，但Forrester不甘寂寞，又提出了零信任边缘（Zero Trust Edge，ZTE）的概念。ZTE通过云原生的中心网关进行安全过滤，以便提供更灵活、扩展性更强的安全服务。SASE和ZTE的更多详情将在4.8节介绍。