内容摘要：提起零信任，原本很难跟戴尔联系到一起，然而，现在戴尔也开始大谈零信任了，这是为什么呢？首先，零信任是什么？零信任，英文原文是“Zero Trust”，字面意思就是相互间没有信任。让人想起网络热梗：“人

提起零信任，硬件原本很难跟戴尔联系到一起，大厂戴然而 ，谈零现在戴尔也开始大谈零信任了，信任这是硬件为什么呢？

首先 ，零信任是大厂戴什么  ？

零信任，英文原文是谈零“Zero Trust”，字面意思就是信任相互间没有信任。让人想起网络热梗：“人跟人之间没有信任了吗 ？硬件”
，“你能伤害的大厂戴都是信任你的人 ！亿华云”

这里并不是谈零劝人躺平，做一位“孤家寡人” 。信任恰恰相反 ，硬件正是大厂戴因为没了信任，所以才特别需要建立信任 ，谈零通过不断验证权限来建立信任 。通过不断验证来提升安全就是零信任的核心思想 。

NIST官网对零信任有一番比较细致的介绍（看不太明白，也没关系） ：

“零信任（Zero trust ，ZT）是一组不断发展的服务器租用网络安全范例的术语，这些范例将防御从静态的、基于网络的边界转移到关注用户、资产和资源 。零信任架构使用零信任原则来规划工业和企业基础设施和工作流。”

“零信任是对企业网络趋势的回应，趋势包括远程用户、自带设备（BYOD）以及不在企业拥有网络边界内的基于云的资产。零信任侧重于保护资源（资产、源码库服务、工作流 、网络帐户等） ，而不是网络段，因为网络位置不再被视为资源安全态势的主要组成部分
。”

为什么现在需要零信任呢 ？

零信任的概念最早可追溯到上世纪90年代，现在为什么谈零信任呢？说到底，这是IT架构体系变迁所致 。

在以前，企业在自家机房购置服务器
 、存储和网络等硬件，以此支撑企业信息系统。高防服务器如果说 ，这一时期的机房是一栋自建的独栋别墅，那么，安全方案就是别墅的围墙 。

安全问题如影随形 ，而“围墙”不仅做不到密不透风 ，而且还经常需要修修补补 ，漏洞经常有，一旦碰到了安全漏洞，就需要对应一套解决方案 ，在墙上打个补丁。建站模板

这套由自己搭建，自己打理的别墅见证了企业的成长壮大 ，围墙上的补丁也见证了历史变迁，而现在，环境发生了变化——云计算时代来了，企业的多云架构来了 。

在多云时代背景下，企业自己的独栋别墅虽然很重要 ，但经常需要租用/订阅外部资源 ，此时的安全边界发生了变化 ，免费模板自建的围墙已经不能覆盖所有资产了 。

于是 ，就需要零信任架构用新的原则重新解决安全的问题 。

零信任解决安全问题的原则有三个

首先 ，所有设备和用户都得是已知的  ，都得面部清晰有名有姓，还要有明确的权限范围。就好比，你走进一家公司，保安允许你进入 ，但并不代表你被信任了 。如果你要打开财务部的门，你得证明你有权限
 ，否则
，从保卫科门里出来的人就来找你了 。

第二，传统做法是阻拦有害的行为，而零信任是只能做被允许的事。人只允许做已知的
、好的事情 ，设备只能运行可以运行的应用，而未经允许的、未知的操作都做不了。如此一来 ，风险管理变得很简单了 。

第三 ，经认证的人和设备在做的事情会被记录和监控，如果有反常活动，比如，研发的人经常访问财务人员该访问的内容 ，这种行为就会被记录和上报。这样就更容易发现问题 ，威胁管理也变得简单了。

从观感来看
，零信任有过于”不近人情“的严苛
。

从落地层面看，零信任带来的变化太大
，感觉会很麻烦
，像一团乱麻。

零信任的构成需要三层架构紧密协作

其实，零信任架构有相对清晰的三层架构：业务控制层、通用控制平面和基础架构三层。而且 ，实施的顺序是从最上层的业务控制层开始 、到通用控制平面，最后才是基础架构层。

三层的职责各不相同：

业务控制层管理着业务层的安全，比如，研发人员能够访问实验室，非研发人员不能访问实验室
，这是业务层要管的。又比如
，数据只能本地化，核心数据不得出境，也是业务要管的。

落到实现层面 ，由于业务控制层需要梳理业务逻辑  ，所以，会需要德勤 、埃森哲和凯捷这样的咨询公司来参与。

通用控制平面负责用技术执行业务控制的内容，本身是一系列的技术实现。它会帮系统搞清楚它是谁，定义它可以做什么，记录并识别它做了什么 ，这三个问题。

具体的实现层面，需要微软的Active Directory
、Rapid7 
、戴尔的SecureWorks和SentinelOne等软件方案来实现 。

零信任环境的第三层是基础架构，它应该由控制平面来控制
。但由于硬件层缺少合适的协议，没有正确的策略模型 ，所以，控制平面很难对基础架构进行控制 。

从具体的实现来讲 ，如果基础架构面向控制平面进行设计 ，就可以执行来自业务控制层面和通用控制层面上定义的安全策略  ，而上层也可以通过来自基础架构的遥测数据获知更多细节。

戴尔在零信任中的角色是什么 ，为什么要谈零信任
？

零信任架构体系包含以上三个层面，而且还需要很好的集成，但由于没有标准 、没有明确的职责划分、没有零信任基础架构API等等，目前企业要承担绝大部分集成的负担  ，导致零信任实现起来非常困难。

戴尔可以简化零信任的部署。戴尔可以提供包括存储  、网络、服务器、终端设备在内的各种基础架构，并与控制平面更好地整合 
，用完整的三个层面来构建零信任架构体系。推动零信任架构的更快落地
。

所以，这里解释文章一开始的问题
，为什么戴尔要大谈零信任？

戴尔作为全球范围内的大型IT基础架构提供商，在全球范围内提供了大约三分之一的存储，大约五分之一的服务器，以及数不清的终端设备。

戴尔有产业号召力和生态标准化方面的影响力。在零信任的问题上 ，戴尔正在推动整个业界实现零信任的集成，让零信任更简单地被采纳，减轻企业集成的负担 。

零信任与现代安全三大要素

以上，谈到了零信任的概念、作用和构成，能提升多云架构时代下的企业安全水平。零信任安全架构对安全体系带来了较大变化，也为企业打造现代安全奠定了基础
。

现代安全有三大要素，而戴尔能支撑企业构建现代安全：

首先，戴尔作为基础设施提供商，可以提供信任的基础。

戴尔作为国际大厂 ，不仅有较高的品牌信誉
。而且，戴尔能提供安全的交付过程，用户能清楚地知道所使用的戴尔的产品，在哪里设计和生产 ，从用户下订单到收获部署期间有没有被动过手脚 ，以确保安全 。

零信任是戴尔基础架构不可或缺的一部分
，贯穿全生命周期 。戴尔从产品设计和开发开始，就考虑零信任
，在制造和交付环节，在部署和运维以及停用阶段，都实现了零信任的保障措施 。制造和交付环节涉及的安全问题值得重视，业内出现了一些在交付环节零部件被动手脚，从而引发安全事件的先例 。

第二，戴尔作为基础设施提供商，可以简化零信任的采用。

零信任架构集成的负担太沉重，戴尔通过专为零信任架构而设计基础架构
，实现跟控制平面的集成，与身份管理、策略管理、威胁管理的集成。这意味着，戴尔的用户更容易跟现有的安全解决方案集成在一起，简化了零信任的采纳
。

最后  ，戴尔作为基础设施提供商，还可以提供网络恢复计划 。

说到底 ，零信任是用来防御安全威胁的 
，尽管可以提升网络防御能力 ，但是，世界上没有绝对的安全
，万一防御措施失效
，后续就只能硬着陆了吗？戴尔的实践证明 ，用户需要一个网络恢复计划 ，使业务快速恢复。

戴尔提供的这三方面能力正是现代企业安全的三大要素 。如何加强现代化安全呢 ？且听下文分解 。