SDP應(yīng)該是零信任里最讓人感興趣的技術(shù)之一，原因來自VPN，我們知道VPN其實(shí)就是一個(gè)網(wǎng)關(guān)認(rèn)證，認(rèn)證通過后就一馬平川，導(dǎo)致詬病比較多，認(rèn)證成功后就像建立了一座橋，并不關(guān)心過橋的人來自哪，想去哪，想干嘛？網(wǎng)絡(luò)身份是解決了，但這身份卻不一定與業(yè)務(wù)相關(guān)，這就導(dǎo)致身份不統(tǒng)一，需要重復(fù)認(rèn)證，如果業(yè)務(wù)中沒有統(tǒng)一身份與認(rèn)證系統(tǒng)，也就意味著有N個(gè)業(yè)務(wù)系統(tǒng)就需要提供N個(gè)重復(fù)認(rèn)證，這還只是身份識(shí)別問題，其他的問題就更復(fù)雜了，而這又是業(yè)務(wù)安全中經(jīng)常遇到的，解決的方式往往以類似打補(bǔ)丁的方式，并沒有一個(gè)統(tǒng)一的編排和調(diào)度機(jī)制，各種解決方案自然就五顏六色了，安全性難以得到保障。

前面提到訪問者是誰和來自哪的問題已被SDP解決，那么要去哪，想干嘛的問題就交給了零信任的動(dòng)態(tài)細(xì)粒度組件來解決，這個(gè)組件的技術(shù)實(shí)現(xiàn)意義有兩個(gè)，一個(gè)解決是的顆粒問題；二是解決的動(dòng)態(tài)問題。我們知道一般的系統(tǒng)都是有認(rèn)證系統(tǒng)的，通過身份識(shí)別后獲得相應(yīng)的訪問權(quán)限，而這里的權(quán)限基本上事先配置好的，如果有變化則需要再次配置，無法做到動(dòng)態(tài)化；另外，權(quán)限的顆粒度也是用組或角色與系統(tǒng)菜單或功能關(guān)聯(lián)來完成，無法做到根據(jù)用戶信息的不同而不同，如果再要求返回的信息都要做到根據(jù)每個(gè)用戶擁有各自隱私數(shù)據(jù)，對(duì)于基于角色的顆粒度模式來說就非常復(fù)雜而難以維護(hù)。

“城門失火，殃及池魚”，為了解決這個(gè)問題，零信任進(jìn)行了流量隔離，采用了網(wǎng)絡(luò)微隔離技術(shù)，為了解決流量劫持和減少被侵入業(yè)務(wù)系統(tǒng)帶來的橫向影響，零信任的訪問采用在網(wǎng)絡(luò)加密隧道里實(shí)現(xiàn)端對(duì)端的加密技術(shù)，網(wǎng)絡(luò)加密隧道可以容納多個(gè)端對(duì)端的子隧道來保障各子隧道的獨(dú)立性，避免出現(xiàn)流量劫持和網(wǎng)絡(luò)的侵入，而網(wǎng)絡(luò)加密隧道是虛擬的，可根據(jù)業(yè)務(wù)的請(qǐng)求實(shí)現(xiàn)動(dòng)態(tài)化，這樣不僅解決了被侵入業(yè)務(wù)系統(tǒng)的橫向影響，也同時(shí)解決了業(yè)務(wù)系統(tǒng)的負(fù)載均衡問題。這個(gè)就是微隔離存在的意義，應(yīng)對(duì)攻擊建立了完整的防御體系。