軟件定義邊界安全模型的基礎，正是“零信任（Zero-Trust）”原則，業(yè)界也稱之為“零信任網絡”或“無邊界網絡”。

　　早在2010年，時任Forrester首席分析師的John Kindervag創(chuàng)建了零信任架構。Google在2013年開始向零信任架構轉型，帶動這種新安全架構流行，逐漸成為主流。Forrester認為，三年內，零信任將成為網絡安全領域最流行的框架之一。

　　所謂“零信任”你的網絡，就是說，企業(yè)不應自動信任內部或外部的任何人/事/物。這種安全概念認為，應在授權前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。

　　簡言之，零信任的策略就是不相信任何人，“不放過一個壞人”。除非網絡明確知道接入者的身份，否則任誰都別想進入。什么IP地址、主機之類的，不知道用戶身份或者不清楚授權途徑的，統(tǒng)統(tǒng)不放進來。用戶的訪問權限將不再受到地理位置的影響，但不同用戶將因自身權限級別的不同，擁有不同的訪問資源。同時，過去從外網登陸內網所需的VPN也將被一道廢棄。

　　2017 RSA大會上，基于零信任架構準則，Google闡述了其“BeyondCorp”安全觀：

　　簡單說，就是無邊界設計、上下文感知和動態(tài)訪問控制三大指導原則。

　　隨著網絡攻擊不斷進化，變得更加復雜高端，防護企業(yè)系統(tǒng)及數據安全的壓力越來越大，傳統(tǒng)的安全方法早已“力不從心”，不能發(fā)揮作用的防火墻變得“形同虛設”。很明顯，企業(yè)不能再指望用VPN防護所有基礎架構。

　　波耐蒙研究所《2017數據泄露研究》發(fā)現，數據泄露事件所致平均損失為362萬美元。盡管該數字比上一年有所下降，但數據泄露事件的平均規(guī)模卻上升了1.8%，達到了平均每起事件泄露2.4萬條記錄之多。

　　看看那些最嚴重的的數據泄露事件，都是因為黑客進入公司防火墻后，基本沒遇到什么阻礙，就能在內部系統(tǒng)中來去自如。很大程度上，邊界已經不存在了，防火墻已經逼近到了需要保護的資產身邊。本質上，零信任模型就是在和過去邊界式的防護思維說“再見”，是為新世界而生的安全架構。

　　業(yè)務擴張、移動化辦公、BYOD、云轉型……如今企業(yè)員工的工作方式是分布式的，用戶工作的地點可能是家、酒店、分支機構或任何地方，不僅是公司辦公室。同時，用戶使用的應用程序可能來自內部，也可能通過SaaS、其他網絡或云訪問。邊界已不再是那個邊界，IT專業(yè)人員需要以全新的方式思考安全架構。

　　新安全架構中的上下文是：“你是誰？是否經過嚴格認證？你使用什么設備？對你設備的了解情況如何？”零信任理念的核心是系統(tǒng)并不需要“證偽”，而是“若無法證明可被信任，即無法獲得權限”。

　　零信任網絡實質上就是一個SDP，后者也是零信任網絡的一種具體實現方式。網絡邊界并不是一個確認可信度的有效方式。傳統(tǒng)數據中心基礎設施正在通過IaaS、PaaS和SaaS等外部云資源進行擴展。盡管AWS、Microsoft Azure和VMware等云基礎架構各自擁有自己的網絡配置和安全模型，但其設計初衷并不是提供細粒度的訪問控制，或基于云服務器實例更改來調整用戶訪問。這正是SDP進入的地方，為來自世界各地的、不同的網絡連接參與者建立安全邊界，無論在云端、DMZ、私有數據中心還是應用服務器中。

　　Citrix認為，新安全思維應“以人為中心”，具體原則包括：構建以用戶為中心的模型；無邊界的網絡安全；用戶不受地域和環(huán)境限制；對網絡、應用和數據實現基于上下文的行為感知；智能風險探測；數據不落地。

　　實現動態(tài)的、以身份為中心的安全，毫無疑問，這是一大進步。Gartner預計，到2021年，不少于25％的企業(yè)數據流量將繞過傳統(tǒng)邊界（目前是10%左右），并直接從移動和便攜式設備流向云端。當然，SDP正受益于Citrix這樣市場領導者，讓IT團隊能夠基于NetScaler和XenDesktop工具，輕松創(chuàng)建軟件定義邊界模型，實現GDPR就緒。

　　摒棄地理位置和內部人員可信的概念，構筑數字安全圍欄，將安全防護從邊界擴展到企業(yè)員工和業(yè)務任何所到之處。Citrix數字安全圍欄的核心方法包括：通過數字安全工作空間為訪問者提供設備獨立性、應用兼容性、位置靈活性。實現安全、高質量和一致性的訪問體驗；統(tǒng)一供給和管理應用和數據，適應各種混雜的私有和公有云基礎架構；為應用和數據提供安全、高效和可視化的交付網絡。

　　通過識別安全風險來源與目標，作為隔離元素，Citrix可幫助企業(yè)有針對性地輕松構建安全隔離解決方案，已成為大量企業(yè)事實上的安全標準：Citrix HDX協議僅傳輸屏幕圖像、鍵鼠信息，可以有效隔離數據和應用邏輯；發(fā)布平臺集中在數據中心，有效縮小企業(yè)安全邊界；NetScaler對傳輸數據進行加密封裝；屏幕錄像功能可以起到事前威懾、事中監(jiān)控、事后追查的效果。細分落地方案包括網管資源隔離、數據隔離、生產系統(tǒng)運行環(huán)境隔離、網絡間隔離（邏輯隔離）、內外網隔離（網閘隔離）和互聯網隔離，面面俱到。

　　Citrix數字安全圍欄與Google零信任模型具有高度一致的理念，異曲同工。與Google零信任模型相比，Citrix數字安全圍欄無需對現有應用進行任何改造，與企業(yè)現有IT架構無縫融合，權限管理等手段簡單、強度中等。同時，進一步隔離了應用邏輯和數據的交互，實現數據不落地。

　　還以為傳統(tǒng)邊界安全、防火墻能讓你“高枕無憂”？是時候把服務從Internet“大染缸”中分離出來了！當然，過程和方法絕非簡單的網絡隔離所能及。Citrix SDP是個好思路。