2.3.2　零信任抽象架构

对比SDP的架构和NIST的零信任架构，SDP的控制器在功能上类似于NIST的零信任架构的策略决策点（Policy Decision Point，PDP），SDP的连接接受主机（Accepting Host，AH）功能上类似于NIST的零信任架构的策略实施点（Policy Enforcement Point，PEP）。综合SDP的架构、NIST的零信任架构的架构图，以及实践经验，我们认为目前业界对零信任架构的理解正在趋于一致，通用零信任抽象架构如图2-1所示。

其中，零信任安全控制中心组件作为SDP的Controller和NIST的PDP的抽象，零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。零信任安全控制中心的核心是实现对访问请求的授权决策，以及为决策而开展的身份认证（或中继到已有认证服务）、安全监测、信任评估、策略管理、设备安全管理等功能；零信任安全代理的核心是实现对访问控制决策的执行，以及对访问主体的安全信息采集，对访问请求的转发、拦截等功能。

图2-1　通用零信任抽象架构