2.3.3　零信任的核心关键能力

零信任的核心关键能力主要有以下几个方面。

（1）基础身份安全能力，对用户、设备等统一身份管理和认证能力，并持续评估身份的安全。

（2）资源隐藏能力，在正式授权前保障资源一定程度的不可见性和不可访问性。

（3）访问代理能力，接管每次访问请求，执行访问控制决策，维护安全的访问通道。

（4）动态访问控制能力，依据身份、设备、应用、网络等维度的信任评估，以及访问控制策略等，动态地调整访问控制权限，进行资源的访问授权决策。

（5）持续终端安全能力，对终端的基线检查、入侵检测等检测能力，还有防病毒、漏洞修复等持续安全防护能力。

（6）审计风控能力，对各类用户访问资源的情况进行全面的审计，如操作日志和登录/登出日志、用户日志和管理员日志，集合终端安全、威胁情报等及时发现异常行为。