回顧2020年，若要挑選2020年 安全行業(yè)熱詞，相信“零信任安全”一定是首選之一。

　　鋪天蓋地的零信任信息充斥著我們的網(wǎng)絡(luò)和生活，國內(nèi)各大安全廠商也都摩拳擦掌加入了“零信任安全”這一領(lǐng)域，紛紛推出了“零信任安全產(chǎn)品及解決方案”。“零信任安全”一炮而紅，成為網(wǎng)絡(luò)安全的“新生力量”，在2019年RSA大會(huì)上，零信任廠商還僅有39家，而在2020年RSA大會(huì)上竟然多達(dá)91家，僅僅一年時(shí)間，零信任行業(yè)的發(fā)展速度就增加了133%?？芍^是發(fā)展快如閃電。

　　與此同時(shí)，零信任市場(chǎng)也特別活躍。OKTA一家做IAM的零信任廠商從估值10億美金，3年翻了近30倍，目前市值達(dá)到298億美金。另一做SDP的零信任廠商，Zscaler從估值20億美金，2年翻了近10倍，目前市值突破190億美金。

　　無論是從市場(chǎng)規(guī)模，還是市場(chǎng)需求角度，都把零信任安全推向了風(fēng)口浪尖，一夜之間“零信任”成了新的安全架構(gòu)的代名詞，那到底什么是零信任？零信任是怎么出現(xiàn)的？零信任能給我們的網(wǎng)絡(luò)安全帶來什么？如果你也有這些疑問，那么下面就有小編帶你一起來分析一下吧。

　　首先我們先說一下零信任是怎么出現(xiàn)的？

　　1. 零信任的起源

　　隨著信息技術(shù)的快速發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、人工智能等新興技術(shù)的發(fā)展，為我們信息化及現(xiàn)代化建設(shè)帶來了新的生產(chǎn)力，但同時(shí)也給信息安全帶來了新挑戰(zhàn)。

　　一方面，云計(jì)算、移動(dòng)互聯(lián)導(dǎo)致的企業(yè)邊界瓦解，難以繼續(xù)基于邊界構(gòu)筑企業(yè)的安全防線；另一方面，外部攻擊和內(nèi)部威脅愈演愈烈，以APT攻擊為代表的高級(jí)持續(xù)攻擊仍然能找到各種漏洞突破企業(yè)的邊界，同時(shí)，內(nèi)部業(yè)務(wù)的非授權(quán)訪問、雇員犯錯(cuò)、有意的數(shù)據(jù)竊取等內(nèi)部威脅層出不窮；另外，國家和行業(yè)層面對(duì)企業(yè)安全的監(jiān)管力度逐步加強(qiáng)，也對(duì)企業(yè)安全提出了更高的要求。只有充分的認(rèn)識(shí)到這些新IT時(shí)代的安全挑戰(zhàn)，才能更好地進(jìn)行應(yīng)對(duì)。

　　目前企業(yè)遇到的問題主要?dú)w結(jié)為以下四類：

　　1.網(wǎng)絡(luò)邊界模糊

　　傳統(tǒng)的安全架構(gòu)基于邊界思維，假定企業(yè)存在一個(gè)“內(nèi)網(wǎng)”，存在一個(gè)邊界，對(duì)內(nèi)外網(wǎng)進(jìn)行隔離，假定內(nèi)網(wǎng)是安全的、外網(wǎng)是不安全的，基于如上假設(shè)，企業(yè)在邊界處部署防火墻、WAF、入侵檢測(cè)等設(shè)備進(jìn)行防御，并期望借此打造企業(yè)的安全護(hù)城河。隨著移動(dòng)辦公、云計(jì)算等技術(shù)的廣泛采用，企業(yè)的邊界已經(jīng)模糊甚至瓦解。

　　2.外部攻擊頻繁

　　隨著大數(shù)據(jù)技術(shù)的發(fā)展，數(shù)據(jù)也趨于集中，意味著價(jià)值的集中，自然也成為攻擊者的首要攻擊目標(biāo)。尤其是以APT為代表的高級(jí)持續(xù)攻擊層出不窮。大型組織甚至國家發(fā)起的大規(guī)模網(wǎng)絡(luò)攻擊事件中，攻擊者可以利用大量的漏洞“武器”，對(duì)重要目標(biāo)進(jìn)行攻擊，這類攻擊往往防不勝防，切不可掉以輕心。

　　3.內(nèi)部威脅加劇

　　傳統(tǒng)的安全體系是建立內(nèi)外網(wǎng)邊界上，假定內(nèi)網(wǎng)用戶、設(shè)備、流量都是可信的，內(nèi)網(wǎng)缺乏足夠的安全訪問控制，一旦被滲透，數(shù)據(jù)極易泄露和竊取。另外，內(nèi)網(wǎng)非授權(quán)訪問也是造成數(shù)據(jù)泄露的一個(gè)原因。

　　4.監(jiān)管力度加大

　　當(dāng)前國家對(duì)數(shù)據(jù)信息安全越來越重視，安全戰(zhàn)略上升到國家戰(zhàn)略，先后出臺(tái)了《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《國家電子政務(wù)標(biāo)準(zhǔn)化指南》等相關(guān)政策標(biāo)準(zhǔn)。為滿足國家對(duì)于企業(yè)信息數(shù)據(jù)安全建設(shè)要求，企業(yè)需要以業(yè)務(wù)需求為導(dǎo)向，規(guī)范建設(shè)企業(yè)數(shù)據(jù)信息安全保障體系，形成科學(xué)實(shí)用的規(guī)范化安全管理能力、體系化安全技術(shù)防護(hù)能力、綜合化安全監(jiān)管運(yùn)維能力，以滿足相關(guān)部門對(duì)于企業(yè)信息安全的監(jiān)管要求。

　　鑒于以上原因，為了應(yīng)對(duì)新IT時(shí)代的網(wǎng)絡(luò)安全挑戰(zhàn)，零信任安全營運(yùn)而生！

　　我們知道零信任是怎么出現(xiàn)的之后，接下來，我們來聊一下，零信任的發(fā)展歷程。

　　2. 零信任發(fā)展歷程

　　零信任的概念最早源自2004年成立的耶利哥論壇，其成立的使命是為了定義無邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案。

　　2010年Forrester的分析師約翰·金德維格首次提出了零信任安全的概念，其核心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。

　　2014年，谷歌發(fā)表了6篇Beyond Corp系列論文，介紹了谷歌如何將零信進(jìn)行落地的實(shí)踐。同一年，國際云安全聯(lián)盟發(fā)布了SDP標(biāo)準(zhǔn)規(guī)范1.0。

　　2017年Gartner在安全與風(fēng)險(xiǎn)管理峰會(huì)上發(fā)布CARTA模型（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）并提出零信任是實(shí)現(xiàn)CARTA宏圖的初始步驟。

　　2018年，F(xiàn)orrester提出零信任架構(gòu)，將能力從微隔離擴(kuò)展到可視化、分析、自動(dòng)編排等維度。

　　2019年，Gartner發(fā)布零信任網(wǎng)絡(luò)ZTNA，融合SDP安全模型，同年，NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)》草案。

　　直到2020年美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)》正式版，歷經(jīng)十年發(fā)展，零信任安全理念在國外逐漸被廣泛認(rèn)知，在國內(nèi)也開始出現(xiàn)了萌芽。

　　3. 零信任的流派

　　正所謂天下大勢(shì)分久必合合久必分，零信任的概念從初次提出，到現(xiàn)在已經(jīng)有10多年了，隨著它的發(fā)展，也分出了不少流派，其中最出名的有八個(gè)流派，當(dāng)然有的地方也分成五個(gè)流派。這主要是看按照什么維度去劃分，就比如google,它自身就分為兩個(gè)流派，一個(gè)是BeyondCorp，一個(gè)是BeyondProd，就像華山派分為氣宗和劍宗一樣，隨都隸屬于華山派，但各自又有各自的不同的修煉技巧。小編主要按照零信任的功能性維度將零信任先按照八大流派來劃分。（這里只簡(jiǎn)單的說一下流派，后續(xù)有時(shí)間，小編會(huì)專門寫一篇關(guān)于這八大流“血雨腥風(fēng)”的故事）

　　流派一：Forrester 最早提出零信任一詞的咨詢機(jī)構(gòu)。其中兩個(gè)代表人物約翰·金德維格；查斯·坎寧安 各提出了3個(gè)觀點(diǎn)。

　　流派二；google BeyondCorp，BeyondCorp是中國做零信任網(wǎng)絡(luò)安全機(jī)構(gòu)最為熟悉的邊界安全安全模型，也是零信任在中國真正的起源。

　　流派三；Google BeyondProd，相當(dāng)于BeyondCorp的升級(jí)版，解決了BeyondCorp無法處理微服務(wù)的問題。

　　流派四；微軟 Microsoft 365 零信任實(shí)踐，是基于Azure AD來實(shí)現(xiàn)的。

　　流派五； Gartner CARTA，Gartner的CARTA（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）模型將零信任和攻擊防護(hù)相結(jié)合，形成了持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估。

　　流派六；Gartner ZTNA，在其發(fā)布的《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》行業(yè)報(bào)告中，定義了零信任網(wǎng)絡(luò)，也稱為軟件定義邊界。

　　流派七；CSA  SDP，國際云安全聯(lián)盟于2013年成立SDP（軟件定義邊界）工作組。

　　流派八； NIST美國國家標(biāo)準(zhǔn)與技術(shù)研究院。2019年，2020年先后發(fā)布兩版《零信任架構(gòu)標(biāo)準(zhǔn)》草案，直到2020年8月推出《零信任架構(gòu)標(biāo)準(zhǔn)》正式版 。

　　說了這么多與零信任相關(guān)的知識(shí)，那么到底什么是零信任呢？零信任是如何定義是什么？

　　4. 零信任定義

　　其實(shí)零信任到目前為止，并未有過明確的定義，都是各大機(jī)構(gòu)根據(jù)自己的理念進(jìn)行的歸納總結(jié)，如果按照權(quán)威性來說，小編比較傾向于NIST的定義。NIST在最近發(fā)表的《零信任架構(gòu)標(biāo)準(zhǔn)》（正式版）中指出，零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式，其前提是信任從來不是隱式授予的，而是必須進(jìn)行持續(xù)評(píng)估。零信任體系架構(gòu)是一種端到端的企業(yè)資源和數(shù)據(jù)安全方法，包括身份（人和非人的實(shí)體）、憑證、訪問管理、操作、端點(diǎn)、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施。零信任（Zero trust，ZT）提供了一系列概念和思想，旨在面對(duì)被視為受損的網(wǎng)絡(luò)時(shí)，減少在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確的、權(quán)限最小的按請(qǐng)求訪問決策時(shí)的不確定性。零信任架構(gòu)（ZTA）是一種企業(yè)網(wǎng)絡(luò)安全規(guī)劃，它利用零信任概念，并囊括其組件關(guān)系、工作流規(guī)劃與訪問策略。

　　雖然NIST給了相對(duì)官方的定義，但是理解起來還是有些困難，尤其是翻譯過來的譯文，更是生澀難懂，就好像文人墨客寫的東西，明明可以很清楚的直敘平鋪，但他們寫的東西就是讓人一眼看不出來。

　　其是用大白話來說，就是零信任并不是一種產(chǎn)品或技術(shù)，而是一種安全理念，其中心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。簡(jiǎn)言之，零信任的策略就是不相信任何人。

　　除此之外在《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》一書中，作者埃文？吉爾曼和道格？巴斯將零信任的定義建立在以下5個(gè)基本假設(shè)之上。

　　網(wǎng)絡(luò)無時(shí)無刻不處于危險(xiǎn)的環(huán)境中

　　網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅。

　　網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度。

　　所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。

　　安全策略必須是動(dòng)態(tài)的，并基于盡可能多的數(shù)據(jù)源計(jì)算而來

　　從以上這5個(gè)假設(shè)中，也能清楚的理解零信任核心思想就是不相信任何人/事/物。

　　5. 零信任三大技術(shù)實(shí)踐

　　NIST（美國國家標(biāo)準(zhǔn)委員會(huì)）在2019年發(fā)布的《零信任架構(gòu)ZTA》白皮書中，總結(jié)出實(shí)現(xiàn)零信任架構(gòu)的三大核心技術(shù)“SIM”，“S”，即SDP（軟件定義邊界）；“I”，即IAM（身份與訪問管理）；“M”，即MSG（微隔離）。

　　SDP:軟件定義邊界：是基于身份的訪問控制以及完備的權(quán)限認(rèn)證機(jī)制。為企業(yè)應(yīng)用和服務(wù)提供隱身保護(hù)，有效保護(hù)企業(yè)的數(shù)據(jù)安全。

　　IAM：增強(qiáng)身份管理 ：是通過圍繞身份、權(quán)限、環(huán)境、活動(dòng)等關(guān)鍵數(shù)據(jù)進(jìn)行管理與治理的方式。確保正確的身份、在正確的訪問環(huán)境下，基于正當(dāng)?shù)睦碛稍L問正確的資源。

　　MSG微隔離：使用策略驅(qū)動(dòng)防火墻技術(shù)或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心、公共云laas和容器，在邏輯上劃分不同的安全分段，用于組織攻擊者進(jìn)入網(wǎng)絡(luò)內(nèi)部后的東西向移動(dòng)訪問。

　　除此以外還有一些輔助技術(shù)如密碼技術(shù)、MFA多因素認(rèn)證、NAC網(wǎng)絡(luò)準(zhǔn)入、下一代沙箱、用戶行為分析（UEBA）等技術(shù)，也是實(shí)現(xiàn)零信任理念的關(guān)鍵技術(shù)，通常都是通過IAM/SDP/MSG三大技術(shù)融合其他技術(shù)來實(shí)現(xiàn)零信任理念，當(dāng)然這三大技術(shù)實(shí)踐可以單一實(shí)現(xiàn)，也可以組合實(shí)現(xiàn)，目前基于這三大技術(shù)實(shí)現(xiàn)的產(chǎn)品還是比較多的，比如Zscarler，就是典型的SDP架構(gòu)，OKTA，就是IAM典型廠商。

　　介紹完三大技術(shù)實(shí)踐，接下來，我們來看一下零信任產(chǎn)品發(fā)展情況。

　　6. 零信任現(xiàn)狀

　　首先在國際上，零信任應(yīng)用越來越廣泛，零信任產(chǎn)業(yè)已初具規(guī)模。美國軍方、聯(lián)邦政府和標(biāo)準(zhǔn)化組織紛紛發(fā)表各自的白皮書、評(píng)估報(bào)告和標(biāo)準(zhǔn)草案，闡述各自對(duì)零信任的認(rèn)識(shí)和規(guī)劃。

　　根據(jù)Forrester在2020年二季度對(duì)于零信任產(chǎn)業(yè)的統(tǒng)計(jì)數(shù)據(jù)，按照零信任解決方案收入規(guī)模，市場(chǎng)的供應(yīng)商可分為三類，其中零信任相關(guān)營收超過1.9億美元的廠商已超過10家。

　　除此之外，美國各機(jī)構(gòu)及政府也相繼也發(fā)布了一系列的論文、白皮書及標(biāo)準(zhǔn)，進(jìn)一步推動(dòng)零信任行業(yè)的發(fā)展，值得注意的是，美國國防部已明確將零信任實(shí)施列為最高優(yōu)先事項(xiàng)。無論是DIB（國防創(chuàng)新委員會(huì)）提出的《零信任架構(gòu)（ZTA）建議》，還是2019年美國的《國防部數(shù)字現(xiàn)代化戰(zhàn)略》，均對(duì)零信任實(shí)踐十分看重。從這一點(diǎn)也可以反映出美國政府及軍隊(duì)對(duì)于零信任架構(gòu)的深刻認(rèn)知和重視。在近期舉行的“TechNet網(wǎng)絡(luò)研討會(huì)”上，DISA新成立的新興技術(shù)局局長SteveWallace表示，通過向零信任架構(gòu)的過渡，將為國防部作戰(zhàn)人員帶來更多安全性、靈活性、更高效的設(shè)備使用、更快的數(shù)據(jù)訪問。Wallace預(yù)計(jì)，國防部零信任初始參考架構(gòu)將在2020年末發(fā)布，然后DISA將征求業(yè)界和政府的意見和建議，然后在幾個(gè)月后發(fā)布完整的文檔。

　　與此同時(shí)，英國國家網(wǎng)絡(luò)安全中心發(fā)布《零信任基本原則》草案，為政企機(jī)構(gòu)遷移或?qū)嵤┝阈湃尉W(wǎng)絡(luò)架構(gòu)提供參考指導(dǎo)。

　　以上介紹的是零信任在國外的情況，下面我們來看一下國內(nèi)零信任現(xiàn)狀。

　　國內(nèi)安全界追隨零信任技術(shù)發(fā)展，積極開展關(guān)鍵技術(shù)研究和產(chǎn)品研制，并結(jié)合國內(nèi)實(shí)際應(yīng)用場(chǎng)景進(jìn)行落地實(shí)踐，同時(shí)推進(jìn)零信任標(biāo)準(zhǔn)化進(jìn)程。

　　2019.9 工信部公開發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》中，將“零信任安全”列入“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。

　　2019.7 騰訊牽頭國內(nèi)首個(gè)立項(xiàng)的零信任安全技術(shù)行業(yè)標(biāo)準(zhǔn)?！读阈湃伟踩夹g(shù)-參考框架》。

　　2020.5 奇安信牽頭國內(nèi)首個(gè)立項(xiàng)的零信任國家標(biāo)準(zhǔn)《信息安全技術(shù)零信任 參考體系架構(gòu)》。

　　在零信任產(chǎn)業(yè)方面，目前國內(nèi)零信任技術(shù)主要集中在兩種形態(tài)，一種是基于零信任整體解決方案的形態(tài)，像阿里云、奇安信、騰訊、深信服、天融信等。

　　另外一種是按照三大技術(shù)實(shí)踐來研發(fā)的產(chǎn)品形態(tài)。如 IAM 有竹云、九州云騰、派拉軟件等；SDP有云深互聯(lián)、數(shù)蓬科技、聯(lián)軟、易安聯(lián)等。MSG微隔離：主要有薔薇靈動(dòng)等。

　　圖-零信任三大實(shí)踐企業(yè)名錄

　　接下來我們來說一下零信任的發(fā)展形勢(shì)及市場(chǎng)規(guī)模。

　　零信任的發(fā)展趨勢(shì)可謂是非常可預(yù)期，根據(jù) Gartner 預(yù)測(cè)，2022 年將有 80%面向生態(tài)合作伙伴的新數(shù)字業(yè)務(wù)應(yīng)用采用零信任網(wǎng)絡(luò)訪問。2023 年將有 60%的企業(yè)   遠(yuǎn)程訪問 將VPN 向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型。

　　圖-預(yù)計(jì)2023年將有60%的企業(yè)從遠(yuǎn)程訪問VPN向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型    資料來源：Gartner

　　美國第二大市場(chǎng)研究咨詢公司MarketsandMarkets 預(yù)測(cè)，2024年，全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)386億美元，國內(nèi)零信任市場(chǎng)規(guī)模有望達(dá)到百億。

　　圖-預(yù)計(jì)2024年全球零信任安全市場(chǎng)規(guī)模將達(dá)386億美元  資料來源：MarketsandMarkets

　　我們這次要分享的內(nèi)容就是這些，像零信任三大技術(shù)實(shí)踐，零信任8大流派，零信任應(yīng)用場(chǎng)景、國外零信任標(biāo)準(zhǔn)規(guī)范，以及目前國內(nèi)各廠商的零信任產(chǎn)品都沒有展開來講，其實(shí)這其中的每一項(xiàng)內(nèi)容都可以單獨(dú)拿來分享，以后如果有時(shí)間，小編會(huì)再豐富一些內(nèi)容的。