Gartner&奇安信：2022年，80%的应用程序将通过零信任网络访问进行访问( 三 ) &e

图典型场景方案

在此方案中，通过在用户子网和数据子网之间部署逻辑的零信任访问控制区构建端到端的零信任解决方案。通过可信应用代理接管所有的用户终端业务访问请求，通过可信API代理接管所有的外部应用API调用请求，所有的访问请求通过可信访问控制台进行身份验证及动态授权。可信终端感知系统持续对终端进行感知和评估，可信网络感知系统持续对网络流量进行感知和评估，并生成安全事件上报至智能身份分析平台，智能身份分析平台综合访问日志信息、安全事件信息、身份与权限信息进行信息关键和信任评估，为可信访问控制台输出信任等级作为权限判定或撤销的依据。

3.零信任迁移方法论

零信任架构作为一种全新的安全架构，和企业现有的业务情况、安全能力、组织架构都有一定的关系，零信任迁移不可能一蹴而就，需要遵循一定的方法论，结合企业现状，统一目标和愿景后进行妥善规划并分步建设。

----Gartner&奇安信：2022年， 80%的应用程序将通过零信任网络访问进行访问//----

图零信任迁移方法

确定愿景

零信任的建设和运营需要企业各干系方积极参与，可能涉及到安全部门、业务开发部门、IT技术服务部门和IT运营部门等。企业数字化转型的关键决策者应该将基于零信任的新一代安全架构上升到战略层面，确定统一的愿景，建议成立专门的组织(或虚拟组织)并指派具有足够权限的人作为负责人进行零信任迁移工作的整体推进，建议至少由CIO/CSO或CISO级别的人员在公司高层决策者的支持下推动零信任项目。

规划先行

规划的目的在于厘清形状，确定路径。对于零信任架构而言，需要从两个维度进行梳理和评估，一是能力成熟度，二是业务范围维度。企业需要评估当前具备的安全能力，并基于风险、安全预算、合规要求等信息，确定安全能力建设的优先级。一般来说新建业务和核心业务作为第一优先级考虑。

分步建设

根据规划的思路导向，建设阶段的划分依各企业而各有不同。如果是能力优先型建设思路，需要针对少量的业务构建从低到高的能力，通过局部业务场景验证零信任的完整能力，然后逐步迁移更多的业务。

首先在一个较小业务范围内，构建中等的零信任安全能力，对整体方案进行验证;方案验证完成后，对验证过程的一些局部优化点进行能力优化，并同时迁入更多的业务进一步验证方案并发现新的安全需求;最后，基于验证结果规划后续能力演进阶段，逐步有序的提升各方面的零信任能力。