對于零信任，你需要了解的第一件事情是，對于一個強大的概念來說，這個名稱并不是很好。這里的重點不是：沒有什么可信任。相反，重點是：沒有假定的信任。所有信任關系都需要明確說明。

也許最好將零信任表述為零隱式信任—基于隱式信任的所有方面，這包括：

• 沒有人擁有訪問網絡的隱式權利-只有顯式權利，可通過網絡訪問特定系統;
• 沒有人擁有保留在網絡上的隱式權利-只有使用網絡的顯式權利，前提是他們沒有表現不好并且系統保持良好狀態

軟件定義的邊界(SDP)概念源自美國國防信息系統局(DISA)，在過去十年中該概念得到云安全聯盟正式認可并普及。

SDP在網絡級別體現了零信任的原則。它引入機制來控制對系統的網絡級訪問、請求訪問并授予訪問權限。SDP是以端點為中心的虛擬、深度細分的網絡，覆蓋所有現有物理和虛擬網絡。

SDP角色和職責

SDP依賴于網絡“外部”的控制器來管理對該網絡的訪問。

• 在受保護網絡上通信的實體(連接發起主機)必須運行SDP軟件，并通過SDP控制器進行身份驗證。請注意，這里的身份驗證涉及多級別的驗證，包括從設備證書到活躍系統運行狀況檢查，并且始終包括用戶身份驗證-最好是多重身份驗證。
• 通過身份驗證后，連接發起主機會被告知允許與哪些其他實體(接收主機)通信，并告知那些主機允許其與之通信?？刂破饕呀浿澜邮罩鳈C控制器;它們已經通過驗證。對控制器當前不可見的主機不在允許的主機列表中。接收主機的列表由背景信息決定，根據發起主機嘗試連接的服務以及該服務允許執行的操作。它應僅包括那些對所請求的通信必不可少的接收主機。 發起主機直接建立虛擬專用網隧道到給定接收主機。請注意，控制器不是該端到端加密虛擬網絡的一部分。
• 對于不在控制器授權的發起主機列表中的主機，接收主機將拒絕或丟棄這些主機發起的網絡通信。
• 控制器和主機可以在或不在現場;云控制器可以管理任何地方的主機的通信，本地控制器也可以。甚至SaaS選項也可以通過代理或云訪問安全代理，置于SDP的保護之下。

各種架構將網關主機放置在環境中，它們充當該環境外的客戶端(無論是數據中心還是云)的接收主機，并與提供服務的實際主機進行所有通信。發起主機僅看到網關，而從不直接與提供應用程序服務的基礎結構進行通信。

部署SDP的主要好處是，在控制器允許接收主機連接前，該接收主機對網絡中其他系統和用戶不可見。只有控制器批準的發起主機能看到它;對于其他所有事物，它都不可見。這是一種非常強大的基本安全狀態，也是DISA推廣此方法的主要原因。

SDP是零信任的一種形式

由于SDP是基于“誰可以與誰連接”的精細管理，并且默認立場是“如果未明確批準，則沒有流量傳輸”，因此SDP顯然是零信任的一種形式。

但是，零信任的范圍更廣，并且包含SDP中認為不是必不可少的概念。例如，零信任要求動態的信任映射來響應行為。SDP允許這樣做，但這并不被認為是基礎。

SDP還假定，在控制器的指導下，主機是唯一的實體，以決定是否進行網絡通信、從未經批準的通信伙伴丟棄數據包。另外，零信任度允許基礎架構可以主動參與，從而在流量到達主機之前就將其丟棄。在零信任下，可能包含基于網絡的組件用于流量管理，除SDP之外或替代SDP。

那些尋求建立全面、多云安全基礎的企業正在擁抱零信任的概念，但他們還應該評估SDP工具以表達該原則。