提起零信任 ，硬件原本很难跟戴尔联系到一起
，大厂戴然而
，谈零现在戴尔也开始大谈零信任了，信任这是硬件为什么呢？

首先 ，零信任是大厂戴什么 ？

零信任 ，英文原文是谈零“Zero Trust”，字面意思就是信任相互间没有信任。让人想起网络热梗：“人跟人之间没有信任了吗 ？硬件” ，“你能伤害的大厂戴都是信任你的人！模板下载”

这里并不是谈零劝人躺平，做一位“孤家寡人”。信任恰恰相反
，硬件正是大厂戴因为没了信任 ，所以才特别需要建立信任 ，谈零通过不断验证权限来建立信任。通过不断验证来提升安全就是零信任的核心思想。

NIST官网对零信任有一番比较细致的介绍（看不太明白
，也没关系）：

“零信任（Zero trust  ，ZT）是一组不断发展的亿华云网络安全范例的术语 ，这些范例将防御从静态的
、基于网络的边界转移到关注用户 、资产和资源 。零信任架构使用零信任原则来规划工业和企业基础设施和工作流。”

“零信任是对企业网络趋势的回应
，趋势包括远程用户、自带设备（BYOD）以及不在企业拥有网络边界内的基于云的资产 。零信任侧重于保护资源（资产
、高防服务器服务、工作流、网络帐户等） ，而不是网络段，因为网络位置不再被视为资源安全态势的主要组成部分 。”

为什么现在需要零信任呢？

零信任的概念最早可追溯到上世纪90年代
，现在为什么谈零信任呢
？说到底 ，这是IT架构体系变迁所致。

在以前，企业在自家机房购置服务器、存储和网络等硬件 ，以此支撑企业信息系统 。源码下载如果说 ，这一时期的机房是一栋自建的独栋别墅，那么 ，安全方案就是别墅的围墙 。

安全问题如影随形
，而“围墙”不仅做不到密不透风，而且还经常需要修修补补，漏洞经常有
，一旦碰到了安全漏洞，就需要对应一套解决方案，在墙上打个补丁。免费模板

这套由自己搭建，自己打理的别墅见证了企业的成长壮大，围墙上的补丁也见证了历史变迁 ，而现在，环境发生了变化——云计算时代来了，企业的多云架构来了。

在多云时代背景下，企业自己的独栋别墅虽然很重要，但经常需要租用/订阅外部资源，此时的安全边界发生了变化，建站模板自建的围墙已经不能覆盖所有资产了。

于是，就需要零信任架构用新的原则重新解决安全的问题
。

零信任解决安全问题的原则有三个

首先
，所有设备和用户都得是已知的，都得面部清晰有名有姓
，还要有明确的权限范围 
。就好比，你走进一家公司，保安允许你进入，但并不代表你被信任了  。如果你要打开财务部的门 ，你得证明你有权限，否则，从保卫科门里出来的人就来找你了 。

第二，传统做法是阻拦有害的行为，而零信任是只能做被允许的事 。人只允许做已知的、好的事情 ，设备只能运行可以运行的应用，而未经允许的 、未知的操作都做不了 。如此一来，风险管理变得很简单了。

第三，经认证的人和设备在做的事情会被记录和监控，如果有反常活动，比如，研发的人经常访问财务人员该访问的内容，这种行为就会被记录和上报。这样就更容易发现问题，威胁管理也变得简单了。

从观感来看
，零信任有过于”不近人情“的严苛。

从落地层面看，零信任带来的变化太大 ，感觉会很麻烦，像一团乱麻。

零信任的构成需要三层架构紧密协作

其实
，零信任架构有相对清晰的三层架构：业务控制层 、通用控制平面和基础架构三层。而且，实施的顺序是从最上层的业务控制层开始 、到通用控制平面 ，最后才是基础架构层 。

三层的职责各不相同：

业务控制层管理着业务层的安全，比如，研发人员能够访问实验室 
，非研发人员不能访问实验室 ，这是业务层要管的。又比如，数据只能本地化 ，核心数据不得出境 ，也是业务要管的  。

落到实现层面 ，由于业务控制层需要梳理业务逻辑 ，所以  ，会需要德勤、埃森哲和凯捷这样的咨询公司来参与 。

通用控制平面负责用技术执行业务控制的内容，本身是一系列的技术实现。它会帮系统搞清楚它是谁 ，定义它可以做什么 ，记录并识别它做了什么
，这三个问题。

具体的实现层面，需要微软的Active Directory、Rapid7 、戴尔的SecureWorks和SentinelOne等软件方案来实现。

零信任环境的第三层是基础架构，它应该由控制平面来控制。但由于硬件层缺少合适的协议，没有正确的策略模型
，所以，控制平面很难对基础架构进行控制。

从具体的实现来讲，如果基础架构面向控制平面进行设计，就可以执行来自业务控制层面和通用控制层面上定义的安全策略，而上层也可以通过来自基础架构的遥测数据获知更多细节。

戴尔在零信任中的角色是什么，为什么要谈零信任？

零信任架构体系包含以上三个层面 ，而且还需要很好的集成
，但由于没有标准 、没有明确的职责划分、没有零信任基础架构API等等 ，目前企业要承担绝大部分集成的负担
，导致零信任实现起来非常困难。

戴尔可以简化零信任的部署。戴尔可以提供包括存储
、网络、服务器、终端设备在内的各种基础架构 ，并与控制平面更好地整合，用完整的三个层面来构建零信任架构体系 
。推动零信任架构的更快落地 。

所以，这里解释文章一开始的问题，为什么戴尔要大谈零信任  ？

戴尔作为全球范围内的大型IT基础架构提供商，在全球范围内提供了大约三分之一的存储，大约五分之一的服务器，以及数不清的终端设备 。

戴尔有产业号召力和生态标准化方面的影响力。在零信任的问题上
，戴尔正在推动整个业界实现零信任的集成，让零信任更简单地被采纳 ，减轻企业集成的负担。

零信任与现代安全三大要素

以上，谈到了零信任的概念、作用和构成 ，能提升多云架构时代下的企业安全水平。零信任安全架构对安全体系带来了较大变化
，也为企业打造现代安全奠定了基础。

现代安全有三大要素
，而戴尔能支撑企业构建现代安全：

首先 ，戴尔作为基础设施提供商 ，可以提供信任的基础。

戴尔作为国际大厂，不仅有较高的品牌信誉 。而且，戴尔能提供安全的交付过程，用户能清楚地知道所使用的戴尔的产品，在哪里设计和生产 ，从用户下订单到收获部署期间有没有被动过手脚，以确保安全
。

零信任是戴尔基础架构不可或缺的一部分 ，贯穿全生命周期  。戴尔从产品设计和开发开始，就考虑零信任  ，在制造和交付环节，在部署和运维以及停用阶段 ，都实现了零信任的保障措施。制造和交付环节涉及的安全问题值得重视，业内出现了一些在交付环节零部件被动手脚 ，从而引发安全事件的先例 。

第二 ，戴尔作为基础设施提供商 ，可以简化零信任的采用。

零信任架构集成的负担太沉重，戴尔通过专为零信任架构而设计基础架构，实现跟控制平面的集成 ，与身份管理 、策略管理、威胁管理的集成 。这意味着
，戴尔的用户更容易跟现有的安全解决方案集成在一起
，简化了零信任的采纳。

最后，戴尔作为基础设施提供商
，还可以提供网络恢复计划。

说到底，零信任是用来防御安全威胁的，尽管可以提升网络防御能力 ，但是 ，世界上没有绝对的安全，万一防御措施失效，后续就只能硬着陆了吗
？戴尔的实践证明 ，用户需要一个网络恢复计划，使业务快速恢复 。

戴尔提供的这三方面能力正是现代企业安全的三大要素 。如何加强现代化安全呢？且听下文分解 。

(责任编辑：数据库)