數(shù)字時(shí)代下，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效，而零信任安全建立以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制，必將成為數(shù)字時(shí)代下主流的網(wǎng)絡(luò)安全架構(gòu)。

　　1、零信任將成為數(shù)字時(shí)代主流的網(wǎng)絡(luò)安全架構(gòu)（1）零信任是面向數(shù)字時(shí)代的新型安全防護(hù)理念零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式。

　　零信任安全簡(jiǎn)要?dú)w納和概況：1）網(wǎng)絡(luò)無(wú)時(shí)無(wú)刻不處于危險(xiǎn)的環(huán)境中；2）網(wǎng)絡(luò)中自始至終都存在外部或內(nèi)部威脅；3）網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度；4）所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過(guò)認(rèn)證和授權(quán)；5）安全策略必須是動(dòng)態(tài)的，并基于盡可能多的數(shù)據(jù)源計(jì)算而來(lái)。

　　因此零信任安全的核心思想是默認(rèn)情況下企業(yè)內(nèi)部和外部的所有人、事、物都是不可信的，需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念，2010 年 Forrester 正式提出了“零信任”（Zero Trust，ZT）的術(shù)語(yǔ)。經(jīng)過(guò)近十年的探索，零信任的理論及實(shí)踐不斷完善，逐漸從概念發(fā)展成為主流的網(wǎng)絡(luò)安全技術(shù)架構(gòu)。

　　數(shù)字時(shí)代下，舊式邊界安全防護(hù)逐漸失效。傳統(tǒng)的安全防護(hù)是以邊界為核心的，基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當(dāng)于為企業(yè)構(gòu)建了一條護(hù)城河，通過(guò)防護(hù)墻、VPN、UTM 及入侵防御檢測(cè)等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外。這種建設(shè)方式一定程度上默認(rèn)內(nèi)網(wǎng)是安全的，而目前我國(guó)多數(shù)政企仍然是圍繞邊界來(lái)構(gòu)建安全防護(hù)體系，對(duì)于內(nèi)網(wǎng)安全常常是缺失的，在日益頻繁的網(wǎng)絡(luò)攻防對(duì)抗中也暴露出弊端。而云大物移智等新興技術(shù)的應(yīng)用使得 IT 基礎(chǔ)架構(gòu)發(fā)生根本性變化，可擴(kuò)展的混合 IT 環(huán)境已成為主流的系統(tǒng)運(yùn)行環(huán)境，平臺(tái)、業(yè)務(wù)、用戶、終端呈現(xiàn)多樣化趨勢(shì)，傳統(tǒng)的物理網(wǎng)絡(luò)安全邊界消失，并帶來(lái)了更多的安全風(fēng)險(xiǎn)，舊式的邊界安全防護(hù)效果有限。面對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢(shì)，零信任構(gòu)建的新型網(wǎng)絡(luò)安全架構(gòu)被認(rèn)為是數(shù)字時(shí)代下提升信息化系統(tǒng)和網(wǎng)絡(luò)整體安全性的有效方式，逐漸得到關(guān)注并應(yīng)用，呈現(xiàn)出蓬勃發(fā)展的態(tài)勢(shì)。

　　（2）“SIM”為零信任架構(gòu)的三大關(guān)鍵技術(shù)

　　零信任的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制。零信任對(duì)訪問(wèn)主體與訪問(wèn)客體之間的數(shù)據(jù)訪問(wèn)和認(rèn)證驗(yàn)證進(jìn)行處理，其將一般的訪問(wèn)行為分解為作用于網(wǎng)絡(luò)通信控制的控制平面及作用于應(yīng)用程序通信的數(shù)據(jù)平面。訪問(wèn)主體通過(guò)控制平面發(fā)起訪問(wèn)請(qǐng)求，經(jīng)由信任評(píng)估引擎、訪問(wèn)控制引擎實(shí)施身份認(rèn)證及授權(quán)，獲得許可后系統(tǒng)動(dòng)態(tài)數(shù)據(jù)平面，訪問(wèn)代理接受來(lái)自主體的數(shù)據(jù)，從而建立一次可信的安全訪問(wèn)鏈接。過(guò)程中，信任評(píng)估引擎將持續(xù)進(jìn)行信任評(píng)估工作，訪問(wèn)控制引擎對(duì)評(píng)估數(shù)據(jù)進(jìn)行零信任策略決策運(yùn)算，來(lái)判斷訪問(wèn)控制策略是否需要作出改變，若需要作出改變時(shí)，將及時(shí)通過(guò)訪問(wèn)代理中斷此前連接，從而有效實(shí)現(xiàn)對(duì)資源的保護(hù)。綜上，可將零信任架構(gòu)原則歸納為以下五個(gè)：

　　將身份作為訪問(wèn)控制的基礎(chǔ)：零信任架構(gòu)對(duì)網(wǎng)絡(luò)、設(shè)備、應(yīng)用、用戶等所有對(duì)象賦予數(shù)字身 份，基于身份來(lái)構(gòu)建訪問(wèn)控制體系；最小權(quán)限原則：零信任架構(gòu)中強(qiáng)調(diào)資源按需分配使用，授予的是執(zhí)行任務(wù)所需的最小特權(quán)， 并限制資源的可見(jiàn)性；實(shí)時(shí)計(jì)算訪問(wèn)控制策略：零信任的授權(quán)決策根據(jù)訪問(wèn)主體的身份、權(quán)限等信息進(jìn)行實(shí)時(shí)計(jì)算， 形成訪問(wèn)控制策略，一旦授權(quán)決策依據(jù)發(fā)生變化，將重新進(jìn)行計(jì)算，必要時(shí)將即時(shí)變更授權(quán) 決策；資源受控安全訪問(wèn)：零信任架構(gòu)對(duì)所有業(yè)務(wù)場(chǎng)景及資源的每一個(gè)訪問(wèn)請(qǐng)求都進(jìn)行強(qiáng)制身份識(shí) 別和授權(quán)判定，符合安全策略才予以放行，實(shí)現(xiàn)會(huì)話級(jí)別的細(xì)粒度訪問(wèn)控制，同時(shí)所有的訪 問(wèn)連接均須加密；基于多源數(shù)據(jù)進(jìn)行信任等級(jí)持續(xù)評(píng)估：零信任架構(gòu)中訪問(wèn)主體的信任等級(jí)是根據(jù)實(shí)時(shí)多源數(shù) 據(jù)（如身份、權(quán)限、訪問(wèn)日志等）計(jì)算得出，人工智能技術(shù)提高了信任評(píng)估策略的計(jì)算效率， 實(shí)現(xiàn)零信任架構(gòu)在安全性、可靠性、可用性及成本方面的綜合平衡。

　　“SIM”，即 SDP（軟件定義邊界）、IAM（身份與訪問(wèn)管理）、MSG（微隔離）是實(shí)現(xiàn)零信任 架構(gòu)的三大關(guān)鍵技術(shù)。NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)）在 2019 年發(fā)布的《零信任架構(gòu) ZTA》白皮書中，總結(jié)出實(shí)現(xiàn)零信任架構(gòu)的三大核心技術(shù)“SIM”，分別是“S”，即 SDP（軟件定義邊界）；“I”，即 IAM（身份與訪問(wèn)管理）；“M”，即 MSG（微隔離）。

　　1） SDP（軟件定義邊界）

　　SDP 技術(shù)是通過(guò)軟件的方式，在“移動(dòng)+云”的背景下構(gòu)建起虛擬 ，利用基于身份的訪問(wèn)控制及 完備的權(quán)限認(rèn)證機(jī)制提供有效的隱身保護(hù)。SDP 是由云安全聯(lián)盟（CSA）開(kāi)發(fā)的一個(gè)安全框架，其體系結(jié)構(gòu)主要包括 SDP 客戶端、SDP 控制器及 SDP 網(wǎng)關(guān)這三個(gè)組件，其中客戶端主要負(fù)責(zé)驗(yàn)證用戶身份，將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給網(wǎng)關(guān)，控制器負(fù)責(zé)身份認(rèn)證及配置策略，管控全過(guò)程，網(wǎng)關(guān)主要保護(hù)業(yè)務(wù)系統(tǒng)，防護(hù)各類網(wǎng)絡(luò)攻擊，只允許來(lái)自合法客戶端的流量通過(guò)。SDP 可將所有應(yīng)用程序隱藏，訪問(wèn)者不知應(yīng)用的具體位置，同時(shí)所有訪問(wèn)流量均通過(guò)加密方式傳輸，并在訪問(wèn)端與被訪問(wèn)端之間點(diǎn)對(duì)點(diǎn)傳輸，其具備的持續(xù)認(rèn)證、細(xì)粒度的上下文訪問(wèn)控制、信令分離等防御理念可有效解決企業(yè)業(yè)務(wù)拓展中的安全問(wèn)題，成為了零信任理念的最佳踐行之一。

　　2）IAM（身份與訪問(wèn)管理）

　　全面身份化是零信任架構(gòu)的基石，零信任所需的 IAM 技術(shù)通過(guò)圍繞身份、權(quán)限、環(huán)境等信息進(jìn)行有效管控與治理，從而保證正確的身份在正確的訪問(wèn)環(huán)境下，基于正當(dāng)理由訪問(wèn)正確的資源。隨著 數(shù)字化轉(zhuǎn)型的不斷深入，業(yè)務(wù)的云化、終端的激增均使得企業(yè) IT 環(huán)境變得更加復(fù)雜，傳統(tǒng)靜態(tài)且封閉的身份與訪問(wèn)管理機(jī)制已不能適應(yīng)這種變化，因此零信任中的 IAM 將更加敏捷、靈活且智能， 需要適應(yīng)各種新興的業(yè)務(wù)場(chǎng)景，能夠采用動(dòng)態(tài)的策略實(shí)現(xiàn)自主完善，可以不斷調(diào)整以滿足實(shí)際的安全需求。

　　3）MSG（微隔離）

　　微隔離通過(guò)細(xì)粒度的策略控制，可以靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離，讓東西向流量可視可控，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當(dāng)前微隔離方案主要有三種技術(shù)路線，分別是云原生微隔離、API 對(duì)接微隔離以及主機(jī)代理微隔離，其中主機(jī)代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來(lái)的多變的用戶業(yè)務(wù)環(huán)境。

　?。?）零信任安全應(yīng)用場(chǎng)景豐富

　　今年在疫情及新基建的雙重刺激下，遠(yuǎn)程辦公、云計(jì)算得到快速發(fā)展，政府大數(shù)據(jù)快速推進(jìn)，對(duì)于零信任安全建設(shè)的必要性亦大大增強(qiáng)。而基于零信任的安全架構(gòu)可以很好地兼容云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等各類新興應(yīng)用場(chǎng)景，支持遠(yuǎn)程辦公、多云環(huán)境、多分支機(jī)構(gòu)、跨企業(yè)協(xié)同等復(fù)雜網(wǎng)絡(luò)架構(gòu)。如適用于遠(yuǎn)程辦公的零信任安全架構(gòu)，不再區(qū)分內(nèi)外網(wǎng)，在人員、設(shè)備及業(yè)務(wù)之間構(gòu)建虛擬的、基于身份的邏輯邊界，實(shí)現(xiàn)一體化的動(dòng)態(tài)訪問(wèn)控制體系，不僅可以減少攻擊暴露面，增強(qiáng)對(duì)企業(yè)應(yīng)用和數(shù)據(jù)的保護(hù)，還可通過(guò)現(xiàn)有工具的集成大幅降低零信任潛在建設(shè)成本。在大數(shù)據(jù)中心的應(yīng)用場(chǎng)景中，東西向流量大幅增加，傳統(tǒng)以南北向業(yè)務(wù)模型為基礎(chǔ)研發(fā)的安全產(chǎn)品已不適用，零信任架構(gòu)可通過(guò)微隔離技術(shù)實(shí)現(xiàn)有效防護(hù)。

　　零信任架構(gòu)具備多種靈活的實(shí)現(xiàn)部署方式，適應(yīng)多場(chǎng)景?，F(xiàn)代 IT 環(huán)境下，業(yè)務(wù)場(chǎng)景呈現(xiàn)多樣化趨勢(shì)，根據(jù)訪問(wèn)主客體、流量模型以及業(yè)務(wù)架構(gòu)可將這些場(chǎng)景歸納為三大類：業(yè)務(wù)訪問(wèn)、數(shù)據(jù)交換以及服務(wù)網(wǎng)格場(chǎng)景。其中業(yè)務(wù)訪問(wèn)場(chǎng)景是指用戶訪問(wèn)業(yè)務(wù)應(yīng)用的場(chǎng)景，是零信任架構(gòu)的主要應(yīng)用場(chǎng)景，包含移動(dòng)辦公、PC 辦公等各類子場(chǎng)景，成功的零信任解決方案能夠滿足不同訪問(wèn)主體（如內(nèi)部員工、臨時(shí)員工以及外部人員等）、不同設(shè)備對(duì)各種應(yīng)用協(xié)議的業(yè)務(wù)訪問(wèn)需求，在保持整體相同架構(gòu)情況下具有高度適應(yīng)性。大數(shù)據(jù)時(shí)代下數(shù)據(jù)交換場(chǎng)景變得更加頻繁，相應(yīng)的零信任解決方案需要有效應(yīng)對(duì)接口多樣化、運(yùn)行環(huán)境多樣化等挑戰(zhàn)。服務(wù)網(wǎng)格場(chǎng)景，即數(shù)據(jù)中心內(nèi)部服務(wù)器間的多方交互場(chǎng)景，是對(duì)業(yè)務(wù)架構(gòu)嵌入最深的場(chǎng)景，由于節(jié)點(diǎn)數(shù)量較多，對(duì)零信任架構(gòu)中的動(dòng)態(tài)訪問(wèn)控制引擎及信任評(píng)估引擎要求更高。

　　2、零信任已從概念走向落地，迎來(lái)強(qiáng)勁風(fēng)口

　?。?）中美雙雙加碼零信任安全

　　2019 年起美國(guó)相關(guān)組織陸續(xù)發(fā)布了多項(xiàng)零信任相關(guān)的報(bào)告或標(biāo)準(zhǔn)。2019 年 4 月，ACT-IAC（美國(guó)技術(shù)委員會(huì)—行業(yè)咨詢委員會(huì)）發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》，對(duì)當(dāng)前零信任的技術(shù)成熟度及可用性進(jìn)行評(píng)估，隨后 DIB（國(guó)防創(chuàng)新委員會(huì)）、NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)）均發(fā)表了零信任相關(guān) 的報(bào)告或標(biāo)準(zhǔn)，其中《零信任架構(gòu)》標(biāo)準(zhǔn)正式版也于今年 8 月 11 日發(fā)布，此外，F(xiàn)orrester 在《 2019 年度預(yù) 測(cè)：轉(zhuǎn)型走向務(wù)實(shí)》中明確指出零信任將在美國(guó)某些特定的領(lǐng)域成為標(biāo)準(zhǔn)的、階段性的網(wǎng)絡(luò)安全架構(gòu)。

　　值得注意的是，美國(guó)國(guó)防部已明確將零信任實(shí)施列為最高優(yōu)先事項(xiàng)。無(wú)論是 DIB（國(guó)防創(chuàng)新委員會(huì)） 提出的《零信任架構(gòu)（ZTA）建議》還是 2019 年美國(guó)的《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》中，均將零信任實(shí)施列為最高優(yōu)先事項(xiàng)，側(cè)面反映出美國(guó)政府及軍隊(duì)對(duì)于零信任架構(gòu)的深刻認(rèn)知和重視。

　　我國(guó)零信任亦緊鑼密鼓地展開(kāi)，標(biāo)準(zhǔn)及應(yīng)用案例逐漸落地。2019 年 9 月，工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標(biāo)準(zhǔn)通過(guò)評(píng)審，成為我國(guó)首個(gè)立項(xiàng)的零信任安全技術(shù)行業(yè)標(biāo)準(zhǔn)。此外，奇安信發(fā)起的零信任首個(gè)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)零信任參考體系架構(gòu)》已成功立項(xiàng)。同時(shí)，自 2019 年起國(guó)內(nèi)部分機(jī)構(gòu)也開(kāi)始將零信任作為新建 IT 基礎(chǔ)設(shè)施的安全架構(gòu)，能源、銀行、通信等行業(yè)也針對(duì)新型業(yè)務(wù)場(chǎng)景開(kāi)展零信任技術(shù)的研究及試點(diǎn)工作。

　?。?）零信任安全正在普及應(yīng)用

　　零信任架構(gòu)成為企業(yè) IT 安全建設(shè)的必然選擇。2019 年底，Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布 的《2019 零信任安全市場(chǎng)普及行業(yè)報(bào)告》指出，62%的受訪者表示目前最大的應(yīng)用程序安全挑戰(zhàn)是確保對(duì)分布在數(shù)據(jù)中心和云環(huán)境中的私有應(yīng)用程序的訪問(wèn)安全，對(duì)此企業(yè)所采用的安全措施主要是身份和訪問(wèn)管理（72%）、數(shù)據(jù)丟失預(yù)防（51%）、BYOD/移動(dòng)安全（50%）等，這些措施均與零信任相關(guān)。報(bào)告指出，78%的 IT 安全團(tuán)隊(duì)希望在未來(lái)應(yīng)用零信任架構(gòu)，19%的受訪者正積極實(shí)施零信任，而 15%的受訪者已經(jīng)實(shí)施了零信任，零信任安全正迅速流行起來(lái)。

　　此外，受訪者表示零信任被看重的優(yōu)點(diǎn)在于零信任安全訪問(wèn)能夠提供最低權(quán)限的訪問(wèn)來(lái)保護(hù)私有應(yīng)用程序（66%）、應(yīng)用程序不再暴露給未經(jīng)授權(quán)的用戶或互聯(lián)網(wǎng)（55%）以及訪問(wèn)私有應(yīng)用程序不再需要網(wǎng)絡(luò)訪問(wèn)（44%）。而通過(guò)落地的零信任應(yīng)用領(lǐng)域看，主要集中在安全訪問(wèn)運(yùn)行在混合和公共云環(huán)境中的私有應(yīng)用程序（37%）、使用現(xiàn)代遠(yuǎn)程訪問(wèn)服務(wù)取代 VPN（33%），以及控制對(duì)私有應(yīng)用程序的第三方訪問(wèn)（18%）。

　　零信任作為全新的安全理念，需要基于業(yè)務(wù)需求、安全運(yùn)營(yíng)現(xiàn)狀、技術(shù)發(fā)展趨勢(shì)等對(duì)零信任能力進(jìn)行持續(xù)完善和演進(jìn)。零信任的遷移并不是一蹴而就，需要結(jié)合企業(yè)現(xiàn)狀、同一目標(biāo)和愿景進(jìn)行妥善規(guī)劃和分布建設(shè)。Gartner 的《零信任訪問(wèn)指南》認(rèn)為到 2022 年，在向生態(tài)合作伙伴開(kāi)放的新數(shù)字業(yè)務(wù)應(yīng)用程序中，80%將通過(guò)零信任進(jìn)行網(wǎng)絡(luò)訪問(wèn)，到 2023 年，60%的企業(yè)將采用零信任替代大部分遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)（VPN）。

　?。?）海外零信任產(chǎn)業(yè)已初具規(guī)模，國(guó)內(nèi)即將步入建設(shè)高峰海外零信任起步較早，目前已初具規(guī)模。Google、Microsoft 等巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網(wǎng)絡(luò)實(shí)施方式的零信 任方案；此外 Vidder、Cryptzone、Zscaler、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。根據(jù) Forrester 在 2020 年二季度對(duì)于零信任產(chǎn)業(yè)的統(tǒng)計(jì)數(shù)據(jù)，按照零信任解決方案收入規(guī)模，市場(chǎng)的供應(yīng)商可分為三類，其中零信任相關(guān)營(yíng)收超過(guò) 1.9 億美元的廠商已超過(guò) 10 家，海外零信任已經(jīng)進(jìn)入規(guī)模化產(chǎn)業(yè)發(fā)展階段。

　　國(guó)內(nèi)安全廠商積極布局零信任。盡管 Forrester Wave 的零信任擴(kuò)展的生態(tài)系統(tǒng)平臺(tái)提供商矩陣中未見(jiàn)國(guó)內(nèi)安全廠商身影，但奇安信、深信服、啟明星辰、綠盟科技等廠商始終關(guān)注國(guó)際網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)，均推出了相應(yīng)的零信任整體解決方案。此外，山石網(wǎng)科、云深互聯(lián)等廠商亦積極推動(dòng) SDP、微隔離等零信任技術(shù)方案的落地應(yīng)用。在零信任快速普及的背景均有望迎來(lái)良好的發(fā)展機(jī)遇。

　　數(shù)字時(shí)代下，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效，而零信任安全建立以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制，必將成為數(shù)字時(shí)代下主流的網(wǎng)絡(luò)安全架構(gòu)。當(dāng)前海外零信任產(chǎn)業(yè)已進(jìn)入規(guī)模化發(fā)展階段，國(guó)內(nèi)廠商已陸續(xù)推出自身的零信任產(chǎn)品或解決方案。在零信任安全逐漸普及的背景下，我們認(rèn)為兩類廠商最為受益：一是綜合實(shí)力強(qiáng)勁并已有相應(yīng)產(chǎn)品或解決方 案推出的網(wǎng)絡(luò)安全公司；二是在 SDP、IAM、MSG 或是某一應(yīng)用場(chǎng)景具備突出優(yōu)勢(shì)的廠商。