數(shù)字時代下，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護理念逐漸失效，而零信任安全建立以身份為中心進行動態(tài)訪問控制，必將成為數(shù)字時代下主流的網(wǎng)絡(luò)安全架構(gòu)。

　　1、零信任將成為數(shù)字時代主流的網(wǎng)絡(luò)安全架構(gòu)（1）零信任是面向數(shù)字時代的新型安全防護理念零信任是一種以資源保護為核心的網(wǎng)絡(luò)安全范式。

　　零信任安全簡要歸納和概況：1）網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中；2）網(wǎng)絡(luò)中自始至終都存在外部或內(nèi)部威脅；3）網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度；4）所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當經(jīng)過認證和授權(quán)；5）安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來。

　　因此零信任安全的核心思想是默認情況下企業(yè)內(nèi)部和外部的所有人、事、物都是不可信的，需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念，2010 年 Forrester 正式提出了“零信任”（Zero Trust，ZT）的術(shù)語。經(jīng)過近十年的探索，零信任的理論及實踐不斷完善，逐漸從概念發(fā)展成為主流的網(wǎng)絡(luò)安全技術(shù)架構(gòu)。

　　數(shù)字時代下，舊式邊界安全防護逐漸失效。傳統(tǒng)的安全防護是以邊界為核心的，基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當于為企業(yè)構(gòu)建了一條護城河，通過防護墻、VPN、UTM 及入侵防御檢測等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外。這種建設(shè)方式一定程度上默認內(nèi)網(wǎng)是安全的，而目前我國多數(shù)政企仍然是圍繞邊界來構(gòu)建安全防護體系，對于內(nèi)網(wǎng)安全常常是缺失的，在日益頻繁的網(wǎng)絡(luò)攻防對抗中也暴露出弊端。而云大物移智等新興技術(shù)的應(yīng)用使得 IT 基礎(chǔ)架構(gòu)發(fā)生根本性變化，可擴展的混合 IT 環(huán)境已成為主流的系統(tǒng)運行環(huán)境，平臺、業(yè)務(wù)、用戶、終端呈現(xiàn)多樣化趨勢，傳統(tǒng)的物理網(wǎng)絡(luò)安全邊界消失，并帶來了更多的安全風(fēng)險，舊式的邊界安全防護效果有限。面對日益復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢，零信任構(gòu)建的新型網(wǎng)絡(luò)安全架構(gòu)被認為是數(shù)字時代下提升信息化系統(tǒng)和網(wǎng)絡(luò)整體安全性的有效方式，逐漸得到關(guān)注并應(yīng)用，呈現(xiàn)出蓬勃發(fā)展的態(tài)勢。

　?。?）“SIM”為零信任架構(gòu)的三大關(guān)鍵技術(shù)

　　零信任的本質(zhì)是以身份為中心進行動態(tài)訪問控制。零信任對訪問主體與訪問客體之間的數(shù)據(jù)訪問和認證驗證進行處理，其將一般的訪問行為分解為作用于網(wǎng)絡(luò)通信控制的控制平面及作用于應(yīng)用程序通信的數(shù)據(jù)平面。訪問主體通過控制平面發(fā)起訪問請求，經(jīng)由信任評估引擎、訪問控制引擎實施身份認證及授權(quán)，獲得許可后系統(tǒng)動態(tài)數(shù)據(jù)平面，訪問代理接受來自主體的數(shù)據(jù)，從而建立一次可信的安全訪問鏈接。過程中，信任評估引擎將持續(xù)進行信任評估工作，訪問控制引擎對評估數(shù)據(jù)進行零信任策略決策運算，來判斷訪問控制策略是否需要作出改變，若需要作出改變時，將及時通過訪問代理中斷此前連接，從而有效實現(xiàn)對資源的保護。綜上，可將零信任架構(gòu)原則歸納為以下五個：

　　將身份作為訪問控制的基礎(chǔ)：零信任架構(gòu)對網(wǎng)絡(luò)、設(shè)備、應(yīng)用、用戶等所有對象賦予數(shù)字身 份，基于身份來構(gòu)建訪問控制體系；最小權(quán)限原則：零信任架構(gòu)中強調(diào)資源按需分配使用，授予的是執(zhí)行任務(wù)所需的最小特權(quán)， 并限制資源的可見性；實時計算訪問控制策略：零信任的授權(quán)決策根據(jù)訪問主體的身份、權(quán)限等信息進行實時計算， 形成訪問控制策略，一旦授權(quán)決策依據(jù)發(fā)生變化，將重新進行計算，必要時將即時變更授權(quán) 決策；資源受控安全訪問：零信任架構(gòu)對所有業(yè)務(wù)場景及資源的每一個訪問請求都進行強制身份識 別和授權(quán)判定，符合安全策略才予以放行，實現(xiàn)會話級別的細粒度訪問控制，同時所有的訪 問連接均須加密；基于多源數(shù)據(jù)進行信任等級持續(xù)評估：零信任架構(gòu)中訪問主體的信任等級是根據(jù)實時多源數(shù) 據(jù)（如身份、權(quán)限、訪問日志等）計算得出，人工智能技術(shù)提高了信任評估策略的計算效率， 實現(xiàn)零信任架構(gòu)在安全性、可靠性、可用性及成本方面的綜合平衡。

　　“SIM”，即 SDP（軟件定義邊界）、IAM（身份與訪問管理）、MSG（微隔離）是實現(xiàn)零信任 架構(gòu)的三大關(guān)鍵技術(shù)。NIST（美國國家標準委員會）在 2019 年發(fā)布的《零信任架構(gòu) ZTA》白皮書中，總結(jié)出實現(xiàn)零信任架構(gòu)的三大核心技術(shù)“SIM”，分別是“S”，即 SDP（軟件定義邊界）；“I”，即 IAM（身份與訪問管理）；“M”，即 MSG（微隔離）。

　　1） SDP（軟件定義邊界）

　　SDP 技術(shù)是通過軟件的方式，在“移動+云”的背景下構(gòu)建起虛擬 ，利用基于身份的訪問控制及 完備的權(quán)限認證機制提供有效的隱身保護。SDP 是由云安全聯(lián)盟（CSA）開發(fā)的一個安全框架，其體系結(jié)構(gòu)主要包括 SDP 客戶端、SDP 控制器及 SDP 網(wǎng)關(guān)這三個組件，其中客戶端主要負責(zé)驗證用戶身份，將訪問請求轉(zhuǎn)發(fā)給網(wǎng)關(guān)，控制器負責(zé)身份認證及配置策略，管控全過程，網(wǎng)關(guān)主要保護業(yè)務(wù)系統(tǒng)，防護各類網(wǎng)絡(luò)攻擊，只允許來自合法客戶端的流量通過。SDP 可將所有應(yīng)用程序隱藏，訪問者不知應(yīng)用的具體位置，同時所有訪問流量均通過加密方式傳輸，并在訪問端與被訪問端之間點對點傳輸，其具備的持續(xù)認證、細粒度的上下文訪問控制、信令分離等防御理念可有效解決企業(yè)業(yè)務(wù)拓展中的安全問題，成為了零信任理念的最佳踐行之一。

　　2）IAM（身份與訪問管理）

　　全面身份化是零信任架構(gòu)的基石，零信任所需的 IAM 技術(shù)通過圍繞身份、權(quán)限、環(huán)境等信息進行有效管控與治理，從而保證正確的身份在正確的訪問環(huán)境下，基于正當理由訪問正確的資源。隨著 數(shù)字化轉(zhuǎn)型的不斷深入，業(yè)務(wù)的云化、終端的激增均使得企業(yè) IT 環(huán)境變得更加復(fù)雜，傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機制已不能適應(yīng)這種變化，因此零信任中的 IAM 將更加敏捷、靈活且智能， 需要適應(yīng)各種新興的業(yè)務(wù)場景，能夠采用動態(tài)的策略實現(xiàn)自主完善，可以不斷調(diào)整以滿足實際的安全需求。

　　3）MSG（微隔離）

　　微隔離通過細粒度的策略控制，可以靈活地實現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機與主機的隔離，讓東西向流量可視可控，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當前微隔離方案主要有三種技術(shù)路線，分別是云原生微隔離、API 對接微隔離以及主機代理微隔離，其中主機代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來的多變的用戶業(yè)務(wù)環(huán)境。

　?。?）零信任安全應(yīng)用場景豐富

　　今年在疫情及新基建的雙重刺激下，遠程辦公、云計算得到快速發(fā)展，政府大數(shù)據(jù)快速推進，對于零信任安全建設(shè)的必要性亦大大增強。而基于零信任的安全架構(gòu)可以很好地兼容云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等各類新興應(yīng)用場景，支持遠程辦公、多云環(huán)境、多分支機構(gòu)、跨企業(yè)協(xié)同等復(fù)雜網(wǎng)絡(luò)架構(gòu)。如適用于遠程辦公的零信任安全架構(gòu)，不再區(qū)分內(nèi)外網(wǎng)，在人員、設(shè)備及業(yè)務(wù)之間構(gòu)建虛擬的、基于身份的邏輯邊界，實現(xiàn)一體化的動態(tài)訪問控制體系，不僅可以減少攻擊暴露面，增強對企業(yè)應(yīng)用和數(shù)據(jù)的保護，還可通過現(xiàn)有工具的集成大幅降低零信任潛在建設(shè)成本。在大數(shù)據(jù)中心的應(yīng)用場景中，東西向流量大幅增加，傳統(tǒng)以南北向業(yè)務(wù)模型為基礎(chǔ)研發(fā)的安全產(chǎn)品已不適用，零信任架構(gòu)可通過微隔離技術(shù)實現(xiàn)有效防護。

　　零信任架構(gòu)具備多種靈活的實現(xiàn)部署方式，適應(yīng)多場景?，F(xiàn)代 IT 環(huán)境下，業(yè)務(wù)場景呈現(xiàn)多樣化趨勢，根據(jù)訪問主客體、流量模型以及業(yè)務(wù)架構(gòu)可將這些場景歸納為三大類：業(yè)務(wù)訪問、數(shù)據(jù)交換以及服務(wù)網(wǎng)格場景。其中業(yè)務(wù)訪問場景是指用戶訪問業(yè)務(wù)應(yīng)用的場景，是零信任架構(gòu)的主要應(yīng)用場景，包含移動辦公、PC 辦公等各類子場景，成功的零信任解決方案能夠滿足不同訪問主體（如內(nèi)部員工、臨時員工以及外部人員等）、不同設(shè)備對各種應(yīng)用協(xié)議的業(yè)務(wù)訪問需求，在保持整體相同架構(gòu)情況下具有高度適應(yīng)性。大數(shù)據(jù)時代下數(shù)據(jù)交換場景變得更加頻繁，相應(yīng)的零信任解決方案需要有效應(yīng)對接口多樣化、運行環(huán)境多樣化等挑戰(zhàn)。服務(wù)網(wǎng)格場景，即數(shù)據(jù)中心內(nèi)部服務(wù)器間的多方交互場景，是對業(yè)務(wù)架構(gòu)嵌入最深的場景，由于節(jié)點數(shù)量較多，對零信任架構(gòu)中的動態(tài)訪問控制引擎及信任評估引擎要求更高。

　　2、零信任已從概念走向落地，迎來強勁風(fēng)口

　?。?）中美雙雙加碼零信任安全

　　2019 年起美國相關(guān)組織陸續(xù)發(fā)布了多項零信任相關(guān)的報告或標準。2019 年 4 月，ACT-IAC（美國技術(shù)委員會—行業(yè)咨詢委員會）發(fā)布了《零信任網(wǎng)絡(luò)安全當前趨勢》，對當前零信任的技術(shù)成熟度及可用性進行評估，隨后 DIB（國防創(chuàng)新委員會）、NIST（美國國家標準委員會）均發(fā)表了零信任相關(guān) 的報告或標準，其中《零信任架構(gòu)》標準正式版也于今年 8 月 11 日發(fā)布，此外，F(xiàn)orrester 在《 2019 年度預(yù) 測：轉(zhuǎn)型走向務(wù)實》中明確指出零信任將在美國某些特定的領(lǐng)域成為標準的、階段性的網(wǎng)絡(luò)安全架構(gòu)。

　　值得注意的是，美國國防部已明確將零信任實施列為最高優(yōu)先事項。無論是 DIB（國防創(chuàng)新委員會） 提出的《零信任架構(gòu)（ZTA）建議》還是 2019 年美國的《國防部數(shù)字現(xiàn)代化戰(zhàn)略》中，均將零信任實施列為最高優(yōu)先事項，側(cè)面反映出美國政府及軍隊對于零信任架構(gòu)的深刻認知和重視。

　　我國零信任亦緊鑼密鼓地展開，標準及應(yīng)用案例逐漸落地。2019 年 9 月，工信部發(fā)布的《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標準通過評審，成為我國首個立項的零信任安全技術(shù)行業(yè)標準。此外，奇安信發(fā)起的零信任首個國家標準《信息安全技術(shù)零信任參考體系架構(gòu)》已成功立項。同時，自 2019 年起國內(nèi)部分機構(gòu)也開始將零信任作為新建 IT 基礎(chǔ)設(shè)施的安全架構(gòu)，能源、銀行、通信等行業(yè)也針對新型業(yè)務(wù)場景開展零信任技術(shù)的研究及試點工作。

　?。?）零信任安全正在普及應(yīng)用

　　零信任架構(gòu)成為企業(yè) IT 安全建設(shè)的必然選擇。2019 年底，Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布 的《2019 零信任安全市場普及行業(yè)報告》指出，62%的受訪者表示目前最大的應(yīng)用程序安全挑戰(zhàn)是確保對分布在數(shù)據(jù)中心和云環(huán)境中的私有應(yīng)用程序的訪問安全，對此企業(yè)所采用的安全措施主要是身份和訪問管理（72%）、數(shù)據(jù)丟失預(yù)防（51%）、BYOD/移動安全（50%）等，這些措施均與零信任相關(guān)。報告指出，78%的 IT 安全團隊希望在未來應(yīng)用零信任架構(gòu)，19%的受訪者正積極實施零信任，而 15%的受訪者已經(jīng)實施了零信任，零信任安全正迅速流行起來。

　　此外，受訪者表示零信任被看重的優(yōu)點在于零信任安全訪問能夠提供最低權(quán)限的訪問來保護私有應(yīng)用程序（66%）、應(yīng)用程序不再暴露給未經(jīng)授權(quán)的用戶或互聯(lián)網(wǎng)（55%）以及訪問私有應(yīng)用程序不再需要網(wǎng)絡(luò)訪問（44%）。而通過落地的零信任應(yīng)用領(lǐng)域看，主要集中在安全訪問運行在混合和公共云環(huán)境中的私有應(yīng)用程序（37%）、使用現(xiàn)代遠程訪問服務(wù)取代 VPN（33%），以及控制對私有應(yīng)用程序的第三方訪問（18%）。

　　零信任作為全新的安全理念，需要基于業(yè)務(wù)需求、安全運營現(xiàn)狀、技術(shù)發(fā)展趨勢等對零信任能力進行持續(xù)完善和演進。零信任的遷移并不是一蹴而就，需要結(jié)合企業(yè)現(xiàn)狀、同一目標和愿景進行妥善規(guī)劃和分布建設(shè)。Gartner 的《零信任訪問指南》認為到 2022 年，在向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用程序中，80%將通過零信任進行網(wǎng)絡(luò)訪問，到 2023 年，60%的企業(yè)將采用零信任替代大部分遠程訪問虛擬專用網(wǎng)（VPN）。

　　（3）海外零信任產(chǎn)業(yè)已初具規(guī)模，國內(nèi)即將步入建設(shè)高峰海外零信任起步較早，目前已初具規(guī)模。Google、Microsoft 等巨頭率先在企業(yè)內(nèi)部實踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網(wǎng)絡(luò)實施方式的零信 任方案；此外 Vidder、Cryptzone、Zscaler、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。根據(jù) Forrester 在 2020 年二季度對于零信任產(chǎn)業(yè)的統(tǒng)計數(shù)據(jù)，按照零信任解決方案收入規(guī)模，市場的供應(yīng)商可分為三類，其中零信任相關(guān)營收超過 1.9 億美元的廠商已超過 10 家，海外零信任已經(jīng)進入規(guī)模化產(chǎn)業(yè)發(fā)展階段。

　　國內(nèi)安全廠商積極布局零信任。盡管 Forrester Wave 的零信任擴展的生態(tài)系統(tǒng)平臺提供商矩陣中未見國內(nèi)安全廠商身影，但奇安信、深信服、啟明星辰、綠盟科技等廠商始終關(guān)注國際網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢，均推出了相應(yīng)的零信任整體解決方案。此外，山石網(wǎng)科、云深互聯(lián)等廠商亦積極推動 SDP、微隔離等零信任技術(shù)方案的落地應(yīng)用。在零信任快速普及的背景均有望迎來良好的發(fā)展機遇。

　　數(shù)字時代下，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護理念逐漸失效，而零信任安全建立以身份為中心進行動態(tài)訪問控制，必將成為數(shù)字時代下主流的網(wǎng)絡(luò)安全架構(gòu)。當前海外零信任產(chǎn)業(yè)已進入規(guī)模化發(fā)展階段，國內(nèi)廠商已陸續(xù)推出自身的零信任產(chǎn)品或解決方案。在零信任安全逐漸普及的背景下，我們認為兩類廠商最為受益：一是綜合實力強勁并已有相應(yīng)產(chǎn)品或解決方 案推出的網(wǎng)絡(luò)安全公司；二是在 SDP、IAM、MSG 或是某一應(yīng)用場景具備突出優(yōu)勢的廠商。