零信任是一種安全體系架構，它打破了傳統的認證即信任、邊界防護、靜態訪問控制、以網路為中心等防護思路，建立起一套以身份為中心，以識別、持續認證、動態訪問控制、授權、審計以及監測為鏈條，以最小化實時授權為核心，以多維信任演算法為基礎，認證達末端的動態安全架構。

零信任安全體系建設的遠大願景：

1。依託IAM技術、終端環境感知技術，重構企業身份體系和身份策略，推動網路人員身份的可信；

2。改變傳統的認證方式，構建先認證後連線和持續認證機制，提升網路的防護能力；

3。結合終端、EDR、業務行為、網路態勢等因素，建立持續信任評估機制和模型，支撐動態自適應訪問控制權限管理，保護業務和資料的安全性；

4。支撐遠端辦公、大資料中心、雲安全平臺等多種場景的安全防護。

然而，零信任安全體系的落地，不僅僅是簡單的產品部署，更是一項複雜的工程，涉及組織管理、技術、成本等多項因素，在實際落地過程中存在著技術層面、管理層面、投入與落地週期等困境。

一、技術層面困境

◆身份管理

零信任的基礎是以身份為中心，需要以IAM為基礎建立使用者業務系統身份管理機制。部分使用者的身份管理基礎薄弱，各業務系統獨立的身份系統，分散在系統中的身份資料異構體難以形成統一管理，使得零信任在企業身份管理部署期間，需要優先考慮IAM建設，逐步形成多因素的身份管理策略。

◆許可權管理

基於角色的授權RBAC是當前企業業務系統主要的授權模型，許可權管理分散，零信任採用ABAC授權模型，需要對當前使用者許可權進行整合改造，改造調整涉及眾多的業務系統，難度比較大。

動態授權和持續信任是零信任的核心之一，需要在許可權統一管理基礎上建立持續信任評估機制，而參與信任評估的因素的多少決定信任評估結果的準確率，信任評估模型作為零信任的核心，需要根據不同網路構建不同的評估模型，準確精準度要求高，當前持續信任缺乏統一的落地。目前缺乏統一的信任評估機制標準體系指標，動態授權落地難。

◆產品、體系融合

零信任是一個安全體系，涉及終端環境感知、IAM、EDR、UEBA等多種安全產品，在使用者實際環境中可能使用者已經具備態勢感知、終端環境感知等相關的安全產品，零信任系統需要同這些系統進行對接融合，融合難度大。

等保2。0中明確系統安全保護環境是區分安全區域邊界的，與零信任的“不再以一個清晰的邊界來劃分信任”的觀點存在矛盾。但零信任的本質概念上，除了不再區分清晰的邊界，其實還有另一個層面，就是信任網路或是信任訪問的概念，所以零信任在我國企業網路環境中的落地，存在基於等保防護思路和零信任技術體系的融合。

二、管理層面困境

零信任致力於打造一個安全可信任的網路環境，會很大程度上改變使用者現在已有的網路訪問方式，從推廣力度上存在一定的難度。作為一種新的技術體系，傳統的管理要求、管理制度已經不適用於新的技術配套要求，需要對現有的管理要求、管理制度、管理組織進行調整，驅動零信任體系建設、維護工作。

三、投入和落地週期困境

零信任在GoogleBeyondCorp實施落地用了7年時間，落地週期長，成本消耗高。零信任本身屬於一個安全建設體系，不是一個產品或是一個平臺，涉及IAM、終端管理、EDR、態勢感知、行為分析等多種技術手段，投資高，建設週期長。所以，零信任建設需要根據不同企業梳理現有的網路環境以及零信任建設程度，分步融合現有環境逐步實施。

完整的零信任是一個理想的願景，使用者在構建零信任網路之前，首先需要確定實現範圍，成熟度較高的零信任網路包含許多互動的子系統。

最開始構建零信任網路時，不需要滿足全部需求，而應當在實現過程中逐步完善，部分使用者應避免陷入到“最初構建零信任體系對現有安全體系的改變很小，而誤認為只需用極小的成本，極少的調整便可一勞永逸地實現零信任安全架構，從而摒棄對零信任架構持續建設和完善”的誤區。