零信任的终端安全闭环

大部分数据泄密事件都是内部员工有意或无意造成的。例如，员工把机密的规划设计图纸、核心源代码拿出去卖，或者涉密设备、U盘的丢失，员工中了病毒木马后导致的数据泄露等等。

怎样解决员工泄密问题呢？常见的终端数据防泄密技术包括：DLP、云桌面、终端数据隔离（终端沙箱）、远程浏览器隔离（RBI）等等。

一个完整的零信任解决方案应该包括终端数据安全，将数据防泄密技术融入零信任架构，根据零信任的细粒度安全策略，执行敏感数据的访问控制。

下面就来梳理一下零信任的终端数据安全方案。

零信任终端的安全闭环

从获取数据的角度看，零信任的“动态访问控制”能力可以保证——只有合法的用户设备才能访问敏感数据。但下载到设备上的数据，仍有可能被用户故意泄露。

所以，一个完整的零信任方案必须具备“终端数据安全”能力，才能形成一个完整的闭环。不能让用户通过零信任下载的文件，随随便便就被外发、拷走了。

零信任与终端数据安全技术的融合

零信任可以分别与DLP、云桌面、终端沙箱、RBI等技术融合，以终端数据安全状态为准入条件，执行零信任访问控制。

零信任架构中，网