在產(chǎn)業(yè)數(shù)字化升級與業(yè)務上云的趨勢下，傳統(tǒng)企業(yè)保護邊界逐漸被瓦解，企業(yè)被攻擊面大幅增加，零信任這一網(wǎng)絡安全的理念受到更多的關注，國內(nèi)外圍繞零信任展開大量的研究和實踐。

　　那么零信任到底是什么？它有什么優(yōu)勢？企業(yè)該如何部署零信任？騰訊安全圍繞零信任基于自身應用實踐，梳理了24個常見的問題，幫助用戶快速理解。

　　零信任初探

　　Q1：大家都在討論零信任，零信任到底是什么？

　　答：本質(zhì)上，零信任既不是技術也不是產(chǎn)品，而是一種安全理念，“持續(xù)驗證，永不信任”是其基本觀點。零信任假定網(wǎng)絡邊界內(nèi)外的任何訪問主體（人/設備/應用），在未經(jīng)過驗證前都不予信任，需要基于持續(xù)的驗證和授權建立動態(tài)訪問信任，其本質(zhì)是以身份為中心進行訪問控制。零信任架構(gòu)則是一種企業(yè)網(wǎng)絡安全的規(guī)劃，它基于零信任理念，圍繞其組件關系、工作流規(guī)劃與訪問策略構(gòu)建而成。

　　Q2：與傳統(tǒng)的邊界安全理念相比，零信任理念有什么優(yōu)勢？

　　答：零信任提供了增強安全機制，在新的架構(gòu)模型下，可以區(qū)分惡意和非惡意的請求，明確人、終端、資源三者關系是否可信。相比于傳統(tǒng)邊界安全理念，有以下優(yōu)勢：安全可信度更高，信任鏈條環(huán)環(huán)相扣，如果狀態(tài)發(fā)生改變，會更容易被發(fā)現(xiàn)；動態(tài)防護能力更強；支持全鏈路加密，分析能力增強、訪問集中管控、資產(chǎn)管理方便等。

　　Q3：零信任會淘汰VPN嗎？

　　答：實際上兩者不是一個維度的概念，不過我們通常拿來作比較?，F(xiàn)階段零信任將和傳統(tǒng)VPN并存，主要受限于機構(gòu)進行零信任改造、升級的速度。從長遠來看，零信任解決方案將會替代傳統(tǒng)VPN的全部功能和適用場景，而部分傳統(tǒng)VPN產(chǎn)品可能會根據(jù)零信任理念擴展升級成為零信任的核心組件，Gartner預測到2023年將有60%的VPN被零信任取代。

　　零信任技術解析

　　Q4：作為一種前沿的安全理念，零信任是通過什么技術實現(xiàn)的？

　　答：業(yè)內(nèi)普遍認為軟件定義邊界（SDP）、身份識別與訪問管理（IAM）、微隔離（MSG）是實現(xiàn)零信任的三大關鍵路徑，圍繞零信任的相關產(chǎn)品及解決方案也都基于此展開。Gartner將SDP描述為軟件定義的圍繞某個應用或某一組應用創(chuàng)建的基于身份和上下文的邏輯訪問邊界，具備服務隱身、控制層與數(shù)據(jù)層分離、靈活可擴展架構(gòu)的安全系統(tǒng)。IAM將企業(yè)所有數(shù)字實體進行有效管理并通過唯一資源標識進行身份化處理，同時兼容現(xiàn)有的各類身份認證協(xié)議，能夠靈活支持多因子認證和人機挑戰(zhàn)的編排，并能夠?qū)崿F(xiàn)和傳統(tǒng)AD域控打通或者替換，最終實現(xiàn)以身份為中心進行該身份的全生命周期的動態(tài)信任管理，并根據(jù)信任評估結(jié)果，判斷當前身份是否可以訪問數(shù)據(jù)資產(chǎn)。MSG則是將數(shù)據(jù)中心的資源或服務按不同的工作負載角色在邏輯上細分為不同的安全段，并配合SDP為這些安全段定義相應的安全訪問控制策略。

　　Q5：作為零信任的一種實現(xiàn)方式，SDP具備哪些優(yōu)勢？

　　答：SDP是在企業(yè)上云、遠程辦公、移動辦公的大環(huán)境下設計出來的，是零信任安全理念具體落地的核心控制組件，具有以下五點優(yōu)勢：1）最小化攻擊面降低安全風險；2）分離訪問控制和數(shù)據(jù)信道，保護關鍵資產(chǎn)和基礎架構(gòu)，阻止?jié)撛诘幕诰W(wǎng)絡的攻擊；3）提供了現(xiàn)有的安全設備難以實現(xiàn)的集成安全體系結(jié)構(gòu)；4）提供了基于連接的安全架構(gòu)，而不是基于IP的替代方案；5）允許預先審查控制所有連接，從哪些設備、哪些服務、哪些設施可以進行連接，安全性方面是比傳統(tǒng)的架構(gòu)更有優(yōu)勢。

　　Q6： 企業(yè)IAM在零信任架構(gòu)中起到什么作用？

　　答：零信任的本質(zhì)就是持續(xù)的身份鑒別與訪問控制，企業(yè)IAM在整個零信任架構(gòu)中，不僅要為各類用戶、設備、應用、數(shù)據(jù)提供統(tǒng)一的、權威的身份鑒別服務；還需要具備整合企業(yè)或外部各種認證技術的能力，實現(xiàn)企業(yè)級的統(tǒng)一訪問控制。因此，我們可以看出，IAM是零信任架構(gòu)中的一個重要組成部分，通過實施IAM項目，企業(yè)可以將原本分散的用戶體系、認證體系整合起來，同時進一步加強用戶在應用層面的最小化權限控制力度，為逐步實現(xiàn)零信任架構(gòu)下的多層訪問控制提供堅實的身份治理服務能力。

　　Q7： 零信任架構(gòu)中的IAM與傳統(tǒng)IAM相比，有哪些技術差異？

　　答：在Gartner關于構(gòu)建敏捷和現(xiàn)代化身份基礎設施的技術報告中對現(xiàn)代化IAM的定義：是一個全新的、動態(tài)的、智能的架構(gòu)，通過不斷增強的、先進的分析技術，演進以滿足企業(yè)未來身份管理的基礎設施。和傳統(tǒng)的IAM相比，除了對用戶身份的統(tǒng)一管理、認證和授權之外，現(xiàn)代化IAM還需要實現(xiàn)基于大數(shù)據(jù)和AI技術的風險動態(tài)感知與智能分析，對于用戶訪問的行為數(shù)據(jù)、用戶的特征和權限數(shù)據(jù)，以及環(huán)境上下文數(shù)據(jù)進行分析，通過風險模型自動生成認證和授權策略，

　　Q8：實現(xiàn)零信任架構(gòu)的關鍵能力是什么？

　　答：關鍵能力包括可信識別、持續(xù)信任評估、業(yè)務訪問鑒權、網(wǎng)絡訪問權限控制和安全可視化能力?？尚抛R別能力是零信任的基礎能力，包括用戶可信識別、受控設備可信識別和受控應用可信識別。通過可信的用戶在可信的受控設備上使用可信的應用，對受保護資源進行可信的訪問。在此能力基礎上，依托持續(xù)信任評估能力，對訪問主體的整個訪問過程進行監(jiān)控分析，對用戶、受控設備和應用的可信度進行持續(xù)的信任評估，根據(jù)評估結(jié)果通過應用訪問控制能力和網(wǎng)絡訪問控制能力進行動態(tài)的權限控制，并通過安全可視化能力將訪問流量、路徑和效果等直觀呈現(xiàn)，為企業(yè)安全運營提供有力的決策支撐。

　　Q9：在零信任架構(gòu)下，如何做到安全可視化的？

　　答：通過可視化技術將訪問路徑、訪問流量、用戶異常訪問行為直觀展示，也可以將在線設備狀態(tài)、統(tǒng)計情況、策略執(zhí)行情況、執(zhí)行路徑等可視化呈現(xiàn)，幫助安全運營人員更為直觀、更為全面的了解訪問主體的安全狀態(tài)和行為，從而更快速、更精準的找到風險點，觸發(fā)安全響應，支撐安全決策。

　　Q10：如果我的企業(yè)想要構(gòu)建零信任體系，應該如何接入？

　　答：企業(yè)具體落地的時候，首先要圍繞關鍵訪問路徑，做接入安全建設，做身份安全、細粒度的訪問控制、安全鏈路。然后再根據(jù)企業(yè)的需求，圍繞聯(lián)動關鍵接入過程，做終端安全、網(wǎng)絡安全、數(shù)據(jù)安全等，根據(jù)企業(yè)實際需求，投入不同關鍵的安全組件，極大降低企業(yè)的安全風險。

　　Q11：構(gòu)建零信任架構(gòu)需要遵循什么原則？

　　答：沒有規(guī)矩，不成方圓。一般來說構(gòu)建零信任有6個原則需要遵循：

　　·  任何訪問主體（人/設備/應用等），在訪問被允許之前，都必須要經(jīng)過身份認證和授權，避免過度的信任；

　　·  訪問主體對資源的訪問權限是動態(tài)的，不是靜止不變的；

　　·  分配訪問權限時應遵循最小權限原則；

　　·  盡可能減少資源非必要的網(wǎng)絡暴露，以減少攻擊面；

　　·  盡可能確保所有的訪問主體、資源、通信鏈路處于最安全狀態(tài)；

　　·  盡可能多的和及時的獲取可能影響授權的所有信息，并根據(jù)這些信息進行持續(xù)的信任評估和安全響應。

　　Q12：構(gòu)建零信任架構(gòu)，有哪些核心組件是必備的？

　　答：零信任作為新一代安全架構(gòu)，必備的關鍵組件包括終端代理、身份認證、動態(tài)信任評估引擎、訪問控制、安全訪問網(wǎng)關等。

　　零信任部署應用

　　Q13：當前零信任具體應用場景有哪些？

　　答：零信任理念主要是以動態(tài)訪問控制為核心的企業(yè)內(nèi)部安全框架，可以非常靈活的應對多種安全場景，包括遠程辦公/運維場景、混合云業(yè)務場景、分支安全接入場景、應用數(shù)據(jù)安全調(diào)用場景、統(tǒng)一身份與業(yè)務集中管控場景等。

　　Q14：業(yè)務上云趨勢下，零信任如何解決混合云業(yè)務場景下的安全問題？

　　答：在零信任安全架構(gòu)下，通過零信任訪問網(wǎng)關的隧道聯(lián)通技術，將分散在不同環(huán)境的業(yè)務系統(tǒng)統(tǒng)一管理，同時，利用網(wǎng)關將業(yè)務系統(tǒng)的真實IP、端口隱藏，保障了業(yè)務部署于任何環(huán)境下的訪問安全性，有效防御數(shù)據(jù)泄露、數(shù)據(jù)丟失、DDoS攻擊、APT攻擊等安全威脅。同時，訪問策略從以IP為中心轉(zhuǎn)變?yōu)橐陨矸轂橹行?，訪問鑒權不隨策略的頻繁變更而變更。同時，跨過混合云網(wǎng)絡間的邊界隔離，可以讓用戶靈活便捷且更為安全的訪問處于不同云上的業(yè)務系統(tǒng)。

　　Q15：零信任安全架構(gòu)如何確保分支安全接入場景的安全性和穩(wěn)定性？

　　答：零信任具有靈活快速適配客戶訪問端和業(yè)務端多樣性的特點，同時保障訪問鏈路穩(wěn)定性和安全性，可以解決很多問題，像企業(yè)分支/門店有接入總部、訪問總部業(yè)務或者跟總部業(yè)務之間有數(shù)據(jù)交換面臨的接入點種類數(shù)量多，攻擊面廣；業(yè)務類型多，訪問協(xié)議多樣；專線部署成本高，VPN安全性和穩(wěn)定性不能保證等等。

　　Q16：在遠程/云辦公這一新型高效辦公場景下，零信任如何解決新安全風險的？

　　答：零信任遠程辦公安全高效在于遵循 “4T原則”，即可信身份（Trusted identity）、可信設備（Trusted device）、可信應用（Trusted application）和可信鏈路（Trusted link），通過按需、動態(tài)的實時訪問控制策略，對終端訪問過程進行持續(xù)的權限控制和安全保護，包括病毒查殺、合規(guī)檢測、安全加固、數(shù)據(jù)保護等，實現(xiàn)終端在任意網(wǎng)絡環(huán)境中安全、穩(wěn)定、高效的訪問企業(yè)資源及數(shù)據(jù)。同時，終端一鍵授權登錄和全球網(wǎng)路加速接入等功能的設置，幫助企業(yè)解決快捷登錄和跨境跨運營商訪問卡頓或延遲過高的問題，優(yōu)化辦公體驗、提升建設收益。

　　Q17：在統(tǒng)一身份與業(yè)務集中管控場景中，零信任如何是實現(xiàn)安全性和便利性的統(tǒng)一？

　　答：基于零信任安全的統(tǒng)一身份管控解決方案，通過統(tǒng)一認證、統(tǒng)一身份管理、集中權限管理、集中業(yè)務管控、全面審計能力，幫助企業(yè)實現(xiàn)安全性與便利性的統(tǒng)一，從而確保企業(yè)業(yè)務的安全訪問。方案將身份的外延擴展到包含人、設備、應用，在基于角色授權框架的基礎上，結(jié)合上下文感知信息（身份安全變化、設備安全狀態(tài)變化等），實現(xiàn)自適應的訪問控制。同時，方案結(jié)合風控領域的積累，實現(xiàn)對于整體人、設備、訪問風險的集中審計和智能評估，讓安全可識可視。

　　Q18：在訪問過程中，零信任是如何實現(xiàn)權限控制的？

　　答：零信任架構(gòu)打破了傳統(tǒng)基于網(wǎng)絡區(qū)域位置的特權訪問保護方式，重在持續(xù)識別企業(yè)用戶中在網(wǎng)絡訪問過程中受到的安全威脅，保持訪問行為的合理性，以不信任網(wǎng)絡內(nèi)外部任何人/設備/系統(tǒng)，基于訪問關鍵對象的組合策略進行訪問控制。針對不同的人員、應用清單、可訪問的業(yè)務系統(tǒng)、網(wǎng)絡環(huán)境等組合關系，細粒度下發(fā)不同的訪問策略，保證核心資產(chǎn)對未經(jīng)認證的訪問主體不可見，只有訪問權限和訪問信任等級符合要求的訪問主體才被允許對業(yè)務資產(chǎn)進行訪問。通過對訪問主體的逐層訪問控制，不僅滿足動態(tài)授權最小化原則，同時可以抵御攻擊鏈各階段攻擊威脅。當企業(yè)發(fā)現(xiàn)安全風險，影響到訪問過程涉及到的關鍵對象時，自身安全檢測可以發(fā)起針對人、設備、訪問權限的禁止阻斷。

　　Q19：部署零信任架構(gòu)的關鍵點是什么？

　　答：要從“身份”、“認證”、“權限”、“動態(tài)”、“訪問控制”這幾個方面去說。第一步，要實現(xiàn)數(shù)據(jù)的身份管理，借助敏感數(shù)據(jù)發(fā)現(xiàn)能力和數(shù)據(jù)分級分類的能力對數(shù)據(jù)進行標識，做到數(shù)據(jù)身份化；第二步，按照最小權限原則，構(gòu)建身份和數(shù)據(jù)權限的映射關系；第三步，借助認證和權限的能力，采用數(shù)據(jù)授權與鑒權、數(shù)據(jù)操作審計、運維和測試數(shù)據(jù)脫敏、高敏感數(shù)據(jù)加密、數(shù)據(jù)水印等技術，防止在數(shù)據(jù)使用過程中出現(xiàn)數(shù)據(jù)泄露和篡改，通過基于數(shù)據(jù)標簽、用戶屬性、數(shù)據(jù)屬性等的訪問控制，實現(xiàn)數(shù)據(jù)細粒度訪問控制；第四步，根據(jù)主體的環(huán)境屬性及安全狀態(tài)動態(tài)調(diào)整訪問權限。

　　Q20：未來零信任會成為企業(yè)安全防護的標準配置嗎？

　　答：在企業(yè)的IT架構(gòu)和管控方面，零信任和身份認證的重要性是越來越強。零信任的框架是在授權前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。云計算、移動互聯(lián)的快速發(fā)展導致傳統(tǒng)內(nèi)外網(wǎng)邊界模糊，企業(yè)無法基于傳統(tǒng)的物理邊界構(gòu)筑安全基礎設施，只能訴諸于更靈活的技術手段來對動態(tài)變化的人、終端、系統(tǒng)建立新的邏輯邊界，通過對人、終端和系統(tǒng)都進行識別、訪問控制、跟蹤實現(xiàn)全面的身份化，以身份為中心的零信任安全成為了網(wǎng)絡安全發(fā)展的必然趨勢。

　　Q21：隨著零信任的發(fā)展，零信任交付的趨勢會是怎樣的？

　　答：起步較早的外國市場，零信任商業(yè)化落地較為成熟，SECaaS（安全即服務）已成主流交付。國內(nèi)已經(jīng)有很多企業(yè)將零信任理念付諸實踐，大多零信任產(chǎn)品交付模式上仍以解決方案為主，未來，我國零信任交付模式也有望逐漸向 SECaaS 轉(zhuǎn)變。

　　騰訊零信任探索和實踐

　　Q22：騰訊目前有哪些基于零信任的產(chǎn)品/方案？

　　答：騰訊從16年開始探索研究零信任，目前推出了零信任安全管理系統(tǒng)（騰訊iOA），基于身份可信、設備可信、應用可信、鏈路可信的“4T”可信原則，持續(xù)驗證，永不信任，對終端訪問過程進行持續(xù)的權限控制和安全保護，降低企業(yè)不同業(yè)務場景的風險，實現(xiàn)終端在任意網(wǎng)絡環(huán)境中安全、穩(wěn)定、高效地訪問企業(yè)資源及數(shù)據(jù)，已在政府、金融、醫(yī)療、交通等多個行業(yè)領域應用落地。同時，騰訊在零信任架構(gòu)下，推出基于SDP安全架構(gòu)的安全連接云服務，支持連接公有云應用及私有化應用，提供新一代的安全接入云服務。

　　Q23：騰訊iOA目前的進展和應用怎么樣？

　　答：實踐出真知，騰訊iOA已經(jīng)過7萬多員工的實踐驗證。在2020年新冠疫情期間，更是支撐了全網(wǎng)員工的工作，在滿足信息互通、收發(fā)郵件、遠程會議、流程審批、項目管理等基本辦公需求基礎上，同時實現(xiàn)遠程無差別地訪問 OA 站點和內(nèi)部系統(tǒng)、開發(fā)運維、登錄跳板機等。除了騰訊自身，iOA還在慧擇保險、中交建設集團、招商局集團、寶安區(qū)政府、四川人民醫(yī)院等客戶成功應用。

　　Q24：在完善零信任行業(yè)標準方面，騰訊做了哪些工作，取得了什么成果？

　　答：騰訊在安全運營中踐行零信任安全理念，積極推動并參與行業(yè)標準制定，促進零信任產(chǎn)業(yè)規(guī)范化發(fā)展。

　　·  2019年7月，騰訊牽頭的“零信任安全技術參考框架”獲CCSA行業(yè)標準立項；

　　·  2019年9月，騰訊零信任安全研究成果入選《2019年中國網(wǎng)絡安全產(chǎn)業(yè)白皮書》；同月，騰訊發(fā)起的“服務訪問過程持續(xù)保護參考框架” 獲ITU-T國際標準立項；

　　·  2020年6月，騰訊聯(lián)合業(yè)界多家權威產(chǎn)學研用機構(gòu)，在產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟下成立國內(nèi)首個零信任產(chǎn)業(yè)標準工作組，以“標準化”為紐帶，致力為用戶提供高質(zhì)量的產(chǎn)品和服務；

　　·  2020年8月，工作組在業(yè)界率先發(fā)布《零信任實戰(zhàn)白皮書》；

　　·  2020年10月，工作組發(fā)起零信任產(chǎn)品兼容性互認證計劃，促進不同廠商間零信任相關產(chǎn)品的兼容性和互聯(lián)互通；

　　·  2020年11月，工作組推動“零信任系統(tǒng)技術規(guī)范”聯(lián)盟標準研制工作； ……

　　未來騰訊將繼續(xù)以自身的技術和實踐經(jīng)驗為基礎，協(xié)同生態(tài)伙伴共同促進零信任產(chǎn)業(yè)規(guī)?；l(fā)展，為零信任在各行業(yè)領域的落地提供參考。