零信任框架是目前比較前沿的技術，相比之下，自適應安全框架更加超前，雖然兩者提出的時間相差無幾,但它們之間有著千絲萬縷的關系。所以在講超越零信任框架之前，我們需要先了解下零信任框架，具體的細節(jié)部分請參考技術干貨 | 遇見零信任——零信任框架文章，這里就不再展開，當涉及到具體概念時我們會在文中一起講。

自適應安全框架來自CARTA（Continuous Adaptive Risk and Trust Assessment），零信任是CARTA的組成部分，早在2015年Gartner安全趨勢報告就已涉及，在2018年，正式確認了“持續(xù)自適應風險與信任評估”（CARTA）的安全趨勢，也即是自適應安全架構3.0的由來。雖然該框架還在不斷完善中，但越來越得到IT界的認同，完整框架技術應用的實現(xiàn)也只是時間問題。

在CARTA中每個部分都由四個領域組成，在攻擊保護方面分別由防御、監(jiān)控、響應、預測按順時針組成外部閉環(huán)；在訪問保護方面分別由訪問、監(jiān)控、管理、發(fā)現(xiàn)按順時針組成內部閉環(huán)。

通過對訪問的監(jiān)控和數據的分析來時時調整訪問風險的應對，作用著內部策略引擎的決策狀態(tài)評估。套用現(xiàn)在抗擊疫情的形象詞來概括就是“外防內控”，只不過是抗擊疫情需要人工參與，CARTA由系統(tǒng)自動完成。

CARTA每個組成部分都有相應的獨立機制，會形成自己的閉環(huán)，譬如在攻擊保護中的監(jiān)控部分，當發(fā)生攻擊或異常行為，監(jiān)控部分會進行事故檢測，并實現(xiàn)風險確認和排序，并完成事故隔離，產生的結果輸出又為外部循環(huán)做準備。CARTA核心是持續(xù)進行監(jiān)測評估風險，以地降低攻擊機會并減少平均修復時間，訪問是自適應的，并根據上下文而變化。

我們再來看看零信任在CARTA自適應安全框架構成中的訪問與攻擊方面充當什么樣的角色以及各組成部分所涉及的內容。

原因在零信任的可信終端部分，零信任中的可信終端先認證后訪問機制保障了終端的合法性，而在終端安裝的代理可以實現(xiàn)對終端系統(tǒng)的加固、隔離，也解決了御防性攻擊。

這里涉及零信任的中心部分，中心由訪問控制引擎和風險信任評估引擎組成，訪問控制引擎也就是之前文章提到的基于細粒度訪問控制（ABAC）， ABAC基于動態(tài)策略解決了自適應訪問控制的問題，而風險信任評估引擎解決實體的信任級別問題，根據終端、環(huán)境、資源相關的權限信息組合分配不同的信任等級，提供給ABAC中的策略執(zhí)行點（PDP）進行決策。

在整個CARTA自適應安全架構中安全性是由零信任來保障的，但要實現(xiàn)整體架構的構建，還需要分析用戶和實體（終端、應用、網絡等 IT 資產實體）的行為來自動適配并控制安全風險，而對用戶和實體的分析就是UEBA（User& Entity Behavior Analytics）了，主要功能是收集用戶和實體的數據進行大數據分析和機器學習，用來找出一些安全問題，形成業(yè)務模式來觸發(fā)策略評估機制，完成自我適應訪問控制的調整。

CARTA自適應安全框架目前還是概念模型，還沒有已實現(xiàn)的產品推出，但在云安全領域的影響已初見波瀾，對企業(yè)無疑更有著重大的深遠意義，不久的將來CARTA我們肯定會遇見，值得期待。