一、原则
零信任假设内网与外网同样不可信,每次访问都需基于身份、设备状态、环境上下文做授权决策。对物联网而言,终端数量巨大且易失窃,传统「进内网即信任」模型失效。达希设备管理平台结合 设备认证、健康度、地理位置、固件版本生成动态信任分,不满足策略则拒绝或限流。
落地时应避免把零信任简化为「多因素登录」:设备侧持续遥测、策略引擎的可解释性、以及故障时的安全降级路径,三者缺一不可。达希将策略定义为可版本化制品,与 双向 TLS、凭证轮换 形成纵深。
二、设备侧信号
证书有效性、是否越狱或 Root、安全启动与完整性度量结果、异常重连模式、上报时序与物理传感器的一致性(例如 GPS 与蜂窝定位突变),均可作为信任输入。信号缺失时不应默认「高信任」,而应降级为只读遥测或限速发布,并记录原因码供后续补采。
对资源受限 MCU,可采用网关汇聚打分或周期性摘要上报,避免每条消息都携带完整证明。与 设备信任根、安全启动与 OTA 链 联动时,可在漏洞披露后快速下调特定版本权重。
三、运维侧信号
人机界面侧应强制 MFA,并结合来源 IP、终端设备合规性、当前值班角色做上下文授权。远程维护使用短时令牌与会话录制,详见 工业远程会话。服务账号与 CI 流水线凭证纳入 RBAC 与 API Scope,禁止长期静态密钥散落在配置仓库。
对托管运维与外包人员,建议按工单绑定临时角色,工单关闭即回收权限,并在 审计追踪 中保留操作轨迹,满足事后追责与合规抽检。
四、微分段与网络面
在边缘网关对不同设备 VLAN 或子网做 ACL,云端策略下发与本地防火墙规则双向校验,防止单点配置漂移。北向 API 与南向设备接入应使用不同信任域与证书体系,避免 API 泄露直接导致设备面沦陷。多租户场景下,分段策略必须与 多租户 RBAC 的资源范围一致,杜绝「策略在网关放宽、控制台却仍严格」的双面人格。
五、持续评估与响应
信任分可随时间衰减,避免「一次认证永久有效」。重大 CVE 披露后,可全局下调某固件版本分数,触发 批量 OTA 或隔离 VLAN。与 SOC 手册 衔接时,应明确自动化阻断与人工研判的边界,防止误杀关键基础设施。
建议为策略引擎配置「影子模式」:新规则先记录若生效时的决策结果但不真正拦截,对比一周后再全量启用,降低业务中断风险。
六、与合规及数据主权
策略变更、阻断记录、信任分调整依据须写入 审计追踪。跨境访问与日志回传遵循 跨境传输 与 数据驻留 策略。涉及个人位置或行为画像时,应做最小化采集与留存周期对齐法务要求。
七、落地路径与演练
推荐分阶段:先完成身份与证书基线,再接入健康度与版本信号,最后启用动态评分与自动隔离。每季度做红队或桌面演练,验证 渗透测试 发现项是否在策略中闭环。演练报告应进入 监管映射 证据包。
八、常见误区
误区包括:仅依赖 VPN 即认为已零信任;把设备证书当作永久免死金牌而忽略固件漏洞;策略引擎黑盒导致业务方无法理解阻断原因。达希强调可解释决策与分级告警,避免「全拒」或「全放」两个极端。
九、总结
零信任不是单一产品,而是架构范式。达希设备管理平台提供策略编排与遥测闭环,帮助企业把口号落地。延伸阅读:安全基线漂移检测、SOC 响应手册。如需零信任成熟度评估与路线图,请联系达希物联安全顾问团队。