2.3.1　零信任的定义

NIST（美国国家标准与技术研究院）在《零信任架构》白皮书中指出：

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）则是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。因此，零信任企业是作为零信任架构规划的产物，是针对企业的网络基础设施（物理和虚拟的）及运营策略的改造。

国外知名IT咨询机构Gartner指出：

零信任网络访问（Zero Trust Network Access，ZTNA）也称为软件定义边界（SDP），是围绕某个应用或一组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的，无法被发现，并且通过信任代理限制一组指定实体访问。在允许访问之前，代理会验证指定访问者的身份、上下文和策略合规性。这个机制将把应用资源从公共视野中消除，从而显著减少攻击面。

中国通信标准化协会（CCSA）的行业标准《信息安全技术　零信任参考架构》（T/CIITA 117—2021）中指出：

一组围绕资源访问控制的安全策略、技术与过程的统称，从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。

需要注意，访问控制决策涉及的因素包括但不限于用户身份、设备信息、用户行为、资源状态、威胁情报、访问环境上下文信息等。