零信任的出現將網絡防御范圍從廣泛的網絡邊界轉移到單個或小組資源，同時它也代表新一代的網絡安全防護理念，打破默認的“信任”，秉持“持續(xù)驗證，永不信任”原則，即默認不信任網絡內外的任何人、設備和系統(tǒng)，基于身份認證和授權，重新構建訪問控制的信任基礎，確保身份可信、設備可信、應用可信和鏈路可信。本文旨在通過零信任技術在國內外的發(fā)展路線，幫助您對零信任這一安全理念有更為全面的了解。

　　備受關注的零信任

　　國內外的技術路線有何異同？

　　一起來看本篇深度解讀~

　　我們都知道“零信任”這一理念最早是在美國提出的，為什么最早會在美國？這與美國蓬勃發(fā)展的云計算、大數據技術是息息相關的。

　　隨著零信任技術體系的完善，加上不斷增長的云應用/WEB應用，企業(yè)對于這種動態(tài)認證和最小化權限管理事中轉事前的安全防御理念更為接受。

　　Google這種互聯網巨頭的零信任的實踐證明，更堅定了資本和廠商的投入，如今美國最大安全公司不是防火墻類傳統(tǒng)公司，而是零信任公司。

　　反觀國內，移動互聯網業(yè)務蓬勃發(fā)展，線上支付業(yè)務的發(fā)展伴隨著移動業(yè)務的發(fā)展一起向前，線上支付的安全性是阿里巴巴、騰訊等互聯網巨頭首要考慮的問題，零信任這一安全理念，也是最早在國內互聯網移動支付領域得到實踐和實用。

　　隨著零信任理念在國內的傳播，這一安全理念也逐步得到更多企事業(yè)的認可。

　　如移動辦公模式在疫情期間得到廣泛應用，單一VPN接入保障在這期間出現了不少的安全事件，如何提高遠程辦公、遠程接入以及業(yè)務應用的安全性，讓更多企事業(yè)客戶選擇了零信任安全理念，一時間零信任安全廠商如雨后春筍般涌現。

　　本文旨在通過零信任技術在國內外的發(fā)展路線，幫助您對零信任這一安全理念有更為全面的了解。

　　國外零信任SaaS技術路線

　　美國零信任SaaS化發(fā)展迅猛，已經實施零信任SaaS超過30%，還有44%客戶正準備實施。

　　零信任SaaS假設所有人不可信，先驗證身份再授權訪問資源；以身份為中心，經過“預驗證”“預授權”才能獲得訪問系統(tǒng)的單次通道；最小權限原則，每次賦予用戶所能完成工作的最小訪問權限；動態(tài)訪問控制，所有訪問通道都是單次的，動態(tài)訪問控制策略。

　　根據Forrester報告，零信任SaaS系統(tǒng)商要對零信任有深刻的認識、較強的微隔離能力、廣泛的集成和API能力、識別并監(jiān)控任何可能帶來風險的身份的能力（不僅是IAM）。

　　如零信任巨頭OKTA采用SaaS訂閱模式，零信任SaaS深入企業(yè)業(yè)務流程和人員，收入續(xù)費率在120%。零信任SaaS要求企業(yè)掌握微隔離、數據安全等技術，領軍公司通常對網絡管理、防火墻、云安全有深刻理解。

　　隨著零信任市場的火熱發(fā)展，在美國有更多公司加入到零信任商業(yè)活動中來，我們把美國的零信任商業(yè)公司分為三類：

　　一是自用轉外銷型。代表企業(yè)如：Google、Akamai、Microsoft等；

　　二是收購建能型。代表企業(yè)如：Cisco、Symantec、Palo Alto Network、Unisys、Proofpoint等；

　　三是技術初創(chuàng)型。代表企業(yè)如：Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。

　　在美國未來市場，很多機構都給予了很高的期望，根據Cybersecurity Insider的調查，15%的受訪IT團隊已經實施零信任SaaS，44%表示準備部署。

　　根據Gartner估計，到2022年，面向生態(tài)系統(tǒng)合作伙伴開放的80%新數字業(yè)務應用程序將通過零信任網絡（ZTNA）進行訪問。到2023年，60%的企業(yè)將淘汰大部分遠程訪問虛擬專用網絡，轉而使用零信任SaaS。

　　國內互聯網廠商技術實踐

　　隨著國內互聯網的快速發(fā)展，互聯網企業(yè)的信息化程度、移動化程度的不斷提高，企業(yè)“內部業(yè)務系統(tǒng)”逐步成為組織的核心資產，隨時隨地處理企業(yè)內部業(yè)務系統(tǒng)變得越來越普遍。

　　但是分布在全國/全球的多個分支子公司或辦事處不一定有專線到集團內網，經常通過公網VPN連接，存在安全性不足和訪問效率低等問題。同時，并購公司、合作公司的網絡安全管理機制與集團公司很難保持一致，其訪問集團內網資源時，存在人員身份校驗和設備安全可信等問題。

　　基于此需求，騰訊從2015年開始自主設計、研發(fā)并在內部實踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA，實現了身份安全可信、設備安全可信、應用進程可信、鏈路保護與加速優(yōu)化等多種功能，能夠滿足無邊界辦公/運維、混合云業(yè)務、分支安全接入、應用數據安全調用、統(tǒng)一身份與業(yè)務集中管控、全球鏈路加速訪問等六大場景的動態(tài)訪問控制需求，為企業(yè)達到無邊界的最小權限安全訪問控制，實現安全管理升級提供一站式的零信任安全方案。

　　阿里云推出辦公零信任解決方案，類似谷歌的BeyondCorp簡化版本。通過Agent終端管控，SPG（Service Provide Gateway）應用接入和IDaaS身份認證齊頭并進，可以提供靈活的組合方案從而滿足企業(yè)的要求。

　　該方案可概括為“可信”、“動態(tài)”兩個關鍵字，包含兩個核心的模塊和組件。第一個模塊是遠程終端安全管理，是對遠程終端進行可信的認證以及身份的管理，能實時而非靜態(tài)的判斷路網設備的安全性。第二個模塊是云端的動態(tài)決策管控，一方面對所有用戶身份進行統(tǒng)一的高強度安全認證，另一方面，系統(tǒng)可結合各種安全因子來動態(tài)分配用戶權限。

　　國內安全廠商的技術路線

　　國內零信任技術的炒作從2015年開始逐步在各個行業(yè)市場展開，由于零信任安全技術從國外的云廠商以及咨詢機構逐步傳遞進來，國內安全廠家都從各自公司的產品優(yōu)勢出發(fā)，優(yōu)先宣傳解決方案，2019年開始逐步有可參考的案例出現。

　　同時，國內的信息安全市場有別于國外歐美市場，目前國內網絡安全市場需求主要集中于政府部委級和大的？業(yè)（如？融、運營商、能源等），這些客戶目前私有云或混合云已經建成，頭部客戶基于自身業(yè)務出發(fā)，對零信任這一先進安全理念更為接受。

　　國外成功商業(yè)模式的誘導和國內頭部客戶的切實需求，共同驅動著國內資本和安全廠商在零信任這一領域加大投入，目前國內廠商技術路線主要由零信任SDP技術路線、零信任IAM技術路線、BeyondCorp技術路線三種類型組成。

　　零信任SDP技術路線

　　云安全聯盟在2014年發(fā)布了《SDP標準規(guī)范V1.0》英文版，中文版于2019年發(fā)布。Gartner將SDP定義為零信任的最佳實踐，加上SDP標準的發(fā)布，讓國內更多廠商在SDP方案上有了更明確的方向，每家廠商根據自已技術積累的不同，在SDP方案上形成了不同的特色。

　　集團作為網絡安全行業(yè)龍頭企業(yè)，以其多年的踏實耕耘、積極穩(wěn)健的安全生態(tài)布局，在業(yè)內形成了較為完整的產品鏈，為其SDP的發(fā)展打下了堅實的基礎。

　　集團的eTrust SDP安全理念是以身份為中心，構建網絡隱身、可信接入、動態(tài)訪控、簡易運維的零信任安全架構。其eTrust客戶端、eTrust網關、eTrust控制器、ASCG等組件，幫助用戶實現網絡隱身、持續(xù)可信接入、動態(tài)訪問控制、最小權限管理等零信任安全能力，為用戶遠程接入、應用訪問、數據保護提供一體化的零信任安全方案。

　　零信任IAM技術路線

　　IAM（Identity and Access Management 身份與訪問管理）是網絡安全領域中的一個細分方向。

　　從效果上來看，IAM產品可以定義和管理用戶的角色和訪問權限，即決定了誰可以訪問，如何進行訪問，訪問后可以執(zhí)行哪些操作等。

　　IAM解決方案也包含了4A特性：賬號、認證、授權、審計。這些特性，在零信任安全中都具備且為關鍵特性，這個特點也導致IAM廠家進行零信任安全架構遷移的成本更低，效率更明顯。

　　IAM細分市場，主要解決用戶的應用訪問和權限控制問題，因此該類零信任技術方案更側重于用戶的應用側和數據側訪問，對于網絡接入和遠程訪問場景下的技術覆蓋度不高。

　　集團憑借在電信運營商行業(yè)十多年的IAM最佳實踐，為用戶提供經得起考驗的高可靠性電信級IAM產品。其IAM需具備以下能力：

　　1、支持多維度身份管理和屬性靈活擴展

　　支持為訪問主體創(chuàng)建全網唯一身份信息，訪問主體可包括內部及外部用戶、第三方系統(tǒng)、設備等，提供統(tǒng)一的身份全生命周期管理，對身份的操作包括建立、修改、凍結、刪除等內容，用于滿足實際維護和操作過程中，入職、崗位變更、離職等過程，并支持對身份屬性的自定義擴展，滿足身份不同階段的屬性要求。

　　2、支持多種身份認證方式及認證協(xié)議

　　定義好主體身份后，還需提供身份校驗機制，可支持多種身份認證方式及認證組合，如靜態(tài)密碼、動態(tài)口令、生物識別、數字證書等，提升主體身份使用的安全性。IAM除了自身需要提供統(tǒng)一認證之外，還可承擔認證樞紐角色，可根據實際需要將所有認證請求轉發(fā)到外部認證服務器進行校驗。

　　IAM可通過對標準認證協(xié)議的支持，如Radius、Tacacs、LDAP、CAS、SAML、OAuth2、OIDC等，實現資源認證統(tǒng)一接入和單點登錄。

　　3、支持細粒度訪問控制

　　當合法的身份進行資源訪問時，支持對主體進行實體級和角色級授權，實體級授權通過主體與客體（資源賬號）的一對一、一對多綁定實現，定義主體可以訪問哪些客體。角色級授權則是在實體級授權上增加主體訪問客體的細粒度權限控制，比如運維命令策略、數據庫運維動態(tài)脫敏、應用頁面訪問控制、頁面實時脫敏等，確保訪問授權最小化。

　　權限控制是IAM的核心內容，在零信任建設中，由于引入了風險計算的概念，通過對訪問主體持續(xù)的風險評估，并根據評估結果實現細粒度的訪問和動態(tài)授權控制，極大地提升了訪問操作過程中權限調整的及時性和訪問的安全性。

　　BeyondCorp技術路線

　　谷歌的BeyongCorp是較早落地的零信任項目。BeyondCorp實現的核心是引入或擴展網絡組件，例如單點登錄，訪問代理，訪問控制引擎，用戶清單，設備清單，安全策略和信任庫。這些組件協(xié)同工作，以維護三個指導原則：

　　1）特定的網絡連接不得確定用戶可以訪問哪些服務；

　　2）根據對用戶和設備的了解來授予對服務的訪問權限；

　　3）所有對服務的訪問都必須經過認證，授權和加密。

　　通過對比國內外零信任的技術路線，我們可以看到國內外零信任各有特色、各呈風采。

　　當前，在產業(yè)數字化升級與業(yè)務上云的發(fā)展趨勢下，傳統(tǒng)企業(yè)保護邊界逐漸被瓦解，以身份為中心的進行訪問控制的零信任安全，得到了越來越多行業(yè)客戶的認可與肯定，毋庸置疑零信任將成為網絡安全行業(yè)發(fā)展的未來趨勢。