數(shù)字時(shí)代下,，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效，而零信任安全建立以身份為中心進(jìn)行動(dòng)態(tài)訪問控制,，必將成為數(shù)字時(shí)代下主流的網(wǎng)絡(luò)安全架構(gòu),。

　　1、零信任將成為數(shù)字時(shí)代主流的網(wǎng)絡(luò)安全架構(gòu)（1）零信任是面向數(shù)字時(shí)代的新型安全防護(hù)理念零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式,。

　　零信任安全簡要?dú)w納和概況：1）網(wǎng)絡(luò)無時(shí)無刻不處于危險(xiǎn)的環(huán)境中,；2）網(wǎng)絡(luò)中自始至終都存在外部或內(nèi)部威脅；3）網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度,；4）所有的設(shè)備,、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán),；5）安全策略必須是動(dòng)態(tài)的,，并基于盡可能多的數(shù)據(jù)源計(jì)算而來,。

　　因此零信任安全的核心思想是默認(rèn)情況下企業(yè)內(nèi)部和外部的所有人、事,、物都是不可信的,，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ),。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念,，2010 年 Forrester 正式提出了“零信任”（Zero Trust，ZT）的術(shù)語,。經(jīng)過近十年的探索,，零信任的理論及實(shí)踐不斷完善,，逐漸從概念發(fā)展成為主流的網(wǎng)絡(luò)安全技術(shù)架構(gòu)。

　　數(shù)字時(shí)代下,，舊式邊界安全防護(hù)逐漸失效,。傳統(tǒng)的安全防護(hù)是以邊界為核心的,，基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當(dāng)于為企業(yè)構(gòu)建了一條護(hù)城河,，通過防護(hù)墻,、VPN,、UTM 及入侵防御檢測等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外,。這種建設(shè)方式一定程度上默認(rèn)內(nèi)網(wǎng)是安全的,，而目前我國多數(shù)政企仍然是圍繞邊界來構(gòu)建安全防護(hù)體系,，對于內(nèi)網(wǎng)安全常常是缺失的，在日益頻繁的網(wǎng)絡(luò)攻防對抗中也暴露出弊端,。而云大物移智等新興技術(shù)的應(yīng)用使得 IT 基礎(chǔ)架構(gòu)發(fā)生根本性變化，可擴(kuò)展的混合 IT 環(huán)境已成為主流的系統(tǒng)運(yùn)行環(huán)境,，平臺(tái),、業(yè)務(wù),、用戶、終端呈現(xiàn)多樣化趨勢,，傳統(tǒng)的物理網(wǎng)絡(luò)安全邊界消失,，并帶來了更多的安全風(fēng)險(xiǎn)，舊式的邊界安全防護(hù)效果有限,。面對日益復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢,，零信任構(gòu)建的新型網(wǎng)絡(luò)安全架構(gòu)被認(rèn)為是數(shù)字時(shí)代下提升信息化系統(tǒng)和網(wǎng)絡(luò)整體安全性的有效方式，逐漸得到關(guān)注并應(yīng)用,，呈現(xiàn)出蓬勃發(fā)展的態(tài)勢,。

　　（2）“SIM”為零信任架構(gòu)的三大關(guān)鍵技術(shù)

　　零信任的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問控制,。零信任對訪問主體與訪問客體之間的數(shù)據(jù)訪問和認(rèn)證驗(yàn)證進(jìn)行處理，其將一般的訪問行為分解為作用于網(wǎng)絡(luò)通信控制的控制平面及作用于應(yīng)用程序通信的數(shù)據(jù)平面,。訪問主體通過控制平面發(fā)起訪問請求，經(jīng)由信任評估引擎,、訪問控制引擎實(shí)施身份認(rèn)證及授權(quán)，獲得許可后系統(tǒng)動(dòng)態(tài)數(shù)據(jù)平面,，訪問代理接受來自主體的數(shù)據(jù),，從而建立一次可信的安全訪問鏈接,。過程中,，信任評估引擎將持續(xù)進(jìn)行信任評估工作,，訪問控制引擎對評估數(shù)據(jù)進(jìn)行零信任策略決策運(yùn)算,，來判斷訪問控制策略是否需要作出改變,，若需要作出改變時(shí),，將及時(shí)通過訪問代理中斷此前連接,，從而有效實(shí)現(xiàn)對資源的保護(hù),。綜上,，可將零信任架構(gòu)原則歸納為以下五個(gè)：

　　將身份作為訪問控制的基礎(chǔ)：零信任架構(gòu)對網(wǎng)絡(luò)、設(shè)備,、應(yīng)用、用戶等所有對象賦予數(shù)字身 份,，基于身份來構(gòu)建訪問控制體系；最小權(quán)限原則：零信任架構(gòu)中強(qiáng)調(diào)資源按需分配使用,，授予的是執(zhí)行任務(wù)所需的最小特權(quán)， 并限制資源的可見性,；實(shí)時(shí)計(jì)算訪問控制策略：零信任的授權(quán)決策根據(jù)訪問主體的身份、權(quán)限等信息進(jìn)行實(shí)時(shí)計(jì)算,， 形成訪問控制策略,，一旦授權(quán)決策依據(jù)發(fā)生變化,，將重新進(jìn)行計(jì)算,，必要時(shí)將即時(shí)變更授權(quán) 決策；資源受控安全訪問：零信任架構(gòu)對所有業(yè)務(wù)場景及資源的每一個(gè)訪問請求都進(jìn)行強(qiáng)制身份識(shí) 別和授權(quán)判定,，符合安全策略才予以放行，實(shí)現(xiàn)會(huì)話級別的細(xì)粒度訪問控制,，同時(shí)所有的訪 問連接均須加密,；基于多源數(shù)據(jù)進(jìn)行信任等級持續(xù)評估：零信任架構(gòu)中訪問主體的信任等級是根據(jù)實(shí)時(shí)多源數(shù) 據(jù)（如身份,、權(quán)限,、訪問日志等）計(jì)算得出,，人工智能技術(shù)提高了信任評估策略的計(jì)算效率,， 實(shí)現(xiàn)零信任架構(gòu)在安全性、可靠性,、可用性及成本方面的綜合平衡,。

　　“SIM”，即 SDP（軟件定義邊界）,、IAM（身份與訪問管理）,、MSG（微隔離）是實(shí)現(xiàn)零信任 架構(gòu)的三大關(guān)鍵技術(shù)。NIST（美國國家標(biāo)準(zhǔn)委員會(huì)）在 2019 年發(fā)布的《零信任架構(gòu) ZTA》白皮書中,，總結(jié)出實(shí)現(xiàn)零信任架構(gòu)的三大核心技術(shù)“SIM”,，分別是“S”，即 SDP（軟件定義邊界）,；“I”,，即 IAM（身份與訪問管理）；“M”,，即 MSG（微隔離）,。

　　1） SDP（軟件定義邊界）

　　SDP 技術(shù)是通過軟件的方式，在“移動(dòng)+云”的背景下構(gòu)建起虛擬 ,，利用基于身份的訪問控制及 完備的權(quán)限認(rèn)證機(jī)制提供有效的隱身保護(hù),。SDP 是由云安全聯(lián)盟（CSA）開發(fā)的一個(gè)安全框架,，其體系結(jié)構(gòu)主要包括 SDP 客戶端,、SDP 控制器及 SDP 網(wǎng)關(guān)這三個(gè)組件，其中客戶端主要負(fù)責(zé)驗(yàn)證用戶身份,，將訪問請求轉(zhuǎn)發(fā)給網(wǎng)關(guān),，控制器負(fù)責(zé)身份認(rèn)證及配置策略，管控全過程,，網(wǎng)關(guān)主要保護(hù)業(yè)務(wù)系統(tǒng),，防護(hù)各類網(wǎng)絡(luò)攻擊，只允許來自合法客戶端的流量通過,。SDP 可將所有應(yīng)用程序隱藏,，訪問者不知應(yīng)用的具體位置，同時(shí)所有訪問流量均通過加密方式傳輸,，并在訪問端與被訪問端之間點(diǎn)對點(diǎn)傳輸,，其具備的持續(xù)認(rèn)證,、細(xì)粒度的上下文訪問控制、信令分離等防御理念可有效解決企業(yè)業(yè)務(wù)拓展中的安全問題,，成為了零信任理念的最佳踐行之一,。

　　2）IAM（身份與訪問管理）

　　全面身份化是零信任架構(gòu)的基石，零信任所需的 IAM 技術(shù)通過圍繞身份,、權(quán)限,、環(huán)境等信息進(jìn)行有效管控與治理，從而保證正確的身份在正確的訪問環(huán)境下,，基于正當(dāng)理由訪問正確的資源,。隨著 數(shù)字化轉(zhuǎn)型的不斷深入，業(yè)務(wù)的云化,、終端的激增均使得企業(yè) IT 環(huán)境變得更加復(fù)雜,，傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機(jī)制已不能適應(yīng)這種變化，因此零信任中的 IAM 將更加敏捷,、靈活且智能,， 需要適應(yīng)各種新興的業(yè)務(wù)場景，能夠采用動(dòng)態(tài)的策略實(shí)現(xiàn)自主完善,，可以不斷調(diào)整以滿足實(shí)際的安全需求,。

　　3）MSG（微隔離）

　　微隔離通過細(xì)粒度的策略控制，可以靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離,，讓東西向流量可視可控,，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當(dāng)前微隔離方案主要有三種技術(shù)路線,，分別是云原生微隔離,、API 對接微隔離以及主機(jī)代理微隔離，其中主機(jī)代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來的多變的用戶業(yè)務(wù)環(huán)境,。

　?。?）零信任安全應(yīng)用場景豐富

　　今年在疫情及新基建的雙重刺激下，遠(yuǎn)程辦公,、云計(jì)算得到快速發(fā)展,，政府大數(shù)據(jù)快速推進(jìn)，對于零信任安全建設(shè)的必要性亦大大增強(qiáng),。而基于零信任的安全架構(gòu)可以很好地兼容云計(jì)算,、大數(shù)據(jù)、物聯(lián)網(wǎng)等各類新興應(yīng)用場景,，支持遠(yuǎn)程辦公,、多云環(huán)境、多分支機(jī)構(gòu)、跨企業(yè)協(xié)同等復(fù)雜網(wǎng)絡(luò)架構(gòu),。如適用于遠(yuǎn)程辦公的零信任安全架構(gòu),，不再區(qū)分內(nèi)外網(wǎng)，在人員,、設(shè)備及業(yè)務(wù)之間構(gòu)建虛擬的,、基于身份的邏輯邊界，實(shí)現(xiàn)一體化的動(dòng)態(tài)訪問控制體系,，不僅可以減少攻擊暴露面,，增強(qiáng)對企業(yè)應(yīng)用和數(shù)據(jù)的保護(hù)，還可通過現(xiàn)有工具的集成大幅降低零信任潛在建設(shè)成本,。在大數(shù)據(jù)中心的應(yīng)用場景中,，東西向流量大幅增加，傳統(tǒng)以南北向業(yè)務(wù)模型為基礎(chǔ)研發(fā)的安全產(chǎn)品已不適用,，零信任架構(gòu)可通過微隔離技術(shù)實(shí)現(xiàn)有效防護(hù),。

　　零信任架構(gòu)具備多種靈活的實(shí)現(xiàn)部署方式，適應(yīng)多場景?，F(xiàn)代 IT 環(huán)境下,，業(yè)務(wù)場景呈現(xiàn)多樣化趨勢，根據(jù)訪問主客體,、流量模型以及業(yè)務(wù)架構(gòu)可將這些場景歸納為三大類：業(yè)務(wù)訪問,、數(shù)據(jù)交換以及服務(wù)網(wǎng)格場景。其中業(yè)務(wù)訪問場景是指用戶訪問業(yè)務(wù)應(yīng)用的場景,，是零信任架構(gòu)的主要應(yīng)用場景,，包含移動(dòng)辦公、PC 辦公等各類子場景,，成功的零信任解決方案能夠滿足不同訪問主體（如內(nèi)部員工,、臨時(shí)員工以及外部人員等）、不同設(shè)備對各種應(yīng)用協(xié)議的業(yè)務(wù)訪問需求,，在保持整體相同架構(gòu)情況下具有高度適應(yīng)性,。大數(shù)據(jù)時(shí)代下數(shù)據(jù)交換場景變得更加頻繁，相應(yīng)的零信任解決方案需要有效應(yīng)對接口多樣化,、運(yùn)行環(huán)境多樣化等挑戰(zhàn),。服務(wù)網(wǎng)格場景,，即數(shù)據(jù)中心內(nèi)部服務(wù)器間的多方交互場景,，是對業(yè)務(wù)架構(gòu)嵌入最深的場景，由于節(jié)點(diǎn)數(shù)量較多,，對零信任架構(gòu)中的動(dòng)態(tài)訪問控制引擎及信任評估引擎要求更高,。

　　2、零信任已從概念走向落地，迎來強(qiáng)勁風(fēng)口

　?。?）中美雙雙加碼零信任安全

　　2019 年起美國相關(guān)組織陸續(xù)發(fā)布了多項(xiàng)零信任相關(guān)的報(bào)告或標(biāo)準(zhǔn),。2019 年 4 月，ACT-IAC（美國技術(shù)委員會(huì)—行業(yè)咨詢委員會(huì)）發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢》,，對當(dāng)前零信任的技術(shù)成熟度及可用性進(jìn)行評估,，隨后 DIB（國防創(chuàng)新委員會(huì)）、NIST（美國國家標(biāo)準(zhǔn)委員會(huì)）均發(fā)表了零信任相關(guān) 的報(bào)告或標(biāo)準(zhǔn),，其中《零信任架構(gòu)》標(biāo)準(zhǔn)正式版也于今年 8 月 11 日發(fā)布,，此外，F(xiàn)orrester 在《 2019 年度預(yù) 測：轉(zhuǎn)型走向務(wù)實(shí)》中明確指出零信任將在美國某些特定的領(lǐng)域成為標(biāo)準(zhǔn)的,、階段性的網(wǎng)絡(luò)安全架構(gòu),。

　　值得注意的是，美國國防部已明確將零信任實(shí)施列為最高優(yōu)先事項(xiàng),。無論是 DIB（國防創(chuàng)新委員會(huì)） 提出的《零信任架構(gòu)（ZTA）建議》還是 2019 年美國的《國防部數(shù)字現(xiàn)代化戰(zhàn)略》中,，均將零信任實(shí)施列為最高優(yōu)先事項(xiàng)，側(cè)面反映出美國政府及軍隊(duì)對于零信任架構(gòu)的深刻認(rèn)知和重視,。

　　我國零信任亦緊鑼密鼓地展開,，標(biāo)準(zhǔn)及應(yīng)用案例逐漸落地。2019 年 9 月,，工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”,。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標(biāo)準(zhǔn)通過評審，成為我國首個(gè)立項(xiàng)的零信任安全技術(shù)行業(yè)標(biāo)準(zhǔn),。此外,，奇安信發(fā)起的零信任首個(gè)國家標(biāo)準(zhǔn)《信息安全技術(shù)零信任參考體系架構(gòu)》已成功立項(xiàng)。同時(shí),，自 2019 年起國內(nèi)部分機(jī)構(gòu)也開始將零信任作為新建 IT 基礎(chǔ)設(shè)施的安全架構(gòu),，能源、銀行,、通信等行業(yè)也針對新型業(yè)務(wù)場景開展零信任技術(shù)的研究及試點(diǎn)工作,。

　　（2）零信任安全正在普及應(yīng)用

　　零信任架構(gòu)成為企業(yè) IT 安全建設(shè)的必然選擇,。2019 年底,，Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布 的《2019 零信任安全市場普及行業(yè)報(bào)告》指出，62%的受訪者表示目前最大的應(yīng)用程序安全挑戰(zhàn)是確保對分布在數(shù)據(jù)中心和云環(huán)境中的私有應(yīng)用程序的訪問安全,，對此企業(yè)所采用的安全措施主要是身份和訪問管理（72%）,、數(shù)據(jù)丟失預(yù)防（51%）、BYOD/移動(dòng)安全（50%）等,，這些措施均與零信任相關(guān),。報(bào)告指出，78%的 IT 安全團(tuán)隊(duì)希望在未來應(yīng)用零信任架構(gòu)，19%的受訪者正積極實(shí)施零信任,，而 15%的受訪者已經(jīng)實(shí)施了零信任,，零信任安全正迅速流行起來。

　　此外,，受訪者表示零信任被看重的優(yōu)點(diǎn)在于零信任安全訪問能夠提供最低權(quán)限的訪問來保護(hù)私有應(yīng)用程序（66%）,、應(yīng)用程序不再暴露給未經(jīng)授權(quán)的用戶或互聯(lián)網(wǎng)（55%）以及訪問私有應(yīng)用程序不再需要網(wǎng)絡(luò)訪問（44%）。而通過落地的零信任應(yīng)用領(lǐng)域看,，主要集中在安全訪問運(yùn)行在混合和公共云環(huán)境中的私有應(yīng)用程序（37%）,、使用現(xiàn)代遠(yuǎn)程訪問服務(wù)取代 VPN（33%），以及控制對私有應(yīng)用程序的第三方訪問（18%）,。

　　零信任作為全新的安全理念,，需要基于業(yè)務(wù)需求、安全運(yùn)營現(xiàn)狀,、技術(shù)發(fā)展趨勢等對零信任能力進(jìn)行持續(xù)完善和演進(jìn),。零信任的遷移并不是一蹴而就，需要結(jié)合企業(yè)現(xiàn)狀,、同一目標(biāo)和愿景進(jìn)行妥善規(guī)劃和分布建設(shè),。Gartner 的《零信任訪問指南》認(rèn)為到 2022 年，在向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用程序中,，80%將通過零信任進(jìn)行網(wǎng)絡(luò)訪問,，到 2023 年，60%的企業(yè)將采用零信任替代大部分遠(yuǎn)程訪問虛擬專用網(wǎng)（VPN）,。

　?。?）海外零信任產(chǎn)業(yè)已初具規(guī)模，國內(nèi)即將步入建設(shè)高峰海外零信任起步較早,，目前已初具規(guī)模,。Google、Microsoft 等巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出了完整的解決方案,；OKTA,、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為中心”的零信任方案,；Cisco,、Symantec、VMware,、F5 等公司推出了偏重于網(wǎng)絡(luò)實(shí)施方式的零信 任方案,；此外 Vidder、Cryptzone,、Zscaler,、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn),。根據(jù) Forrester 在 2020 年二季度對于零信任產(chǎn)業(yè)的統(tǒng)計(jì)數(shù)據(jù),，按照零信任解決方案收入規(guī)模,，市場的供應(yīng)商可分為三類，其中零信任相關(guān)營收超過 1.9 億美元的廠商已超過 10 家,，海外零信任已經(jīng)進(jìn)入規(guī)?；a(chǎn)業(yè)發(fā)展階段。

　　國內(nèi)安全廠商積極布局零信任,。盡管 Forrester Wave 的零信任擴(kuò)展的生態(tài)系統(tǒng)平臺(tái)提供商矩陣中未見國內(nèi)安全廠商身影,，但奇安信、深信服,、啟明星辰,、綠盟科技等廠商始終關(guān)注國際網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢，均推出了相應(yīng)的零信任整體解決方案,。此外,，山石網(wǎng)科、云深互聯(lián)等廠商亦積極推動(dòng) SDP,、微隔離等零信任技術(shù)方案的落地應(yīng)用,。在零信任快速普及的背景均有望迎來良好的發(fā)展機(jī)遇。

　　數(shù)字時(shí)代下,，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效,，而零信任安全建立以身份為中心進(jìn)行動(dòng)態(tài)訪問控制，必將成為數(shù)字時(shí)代下主流的網(wǎng)絡(luò)安全架構(gòu),。當(dāng)前海外零信任產(chǎn)業(yè)已進(jìn)入規(guī)?；l(fā)展階段，國內(nèi)廠商已陸續(xù)推出自身的零信任產(chǎn)品或解決方案,。在零信任安全逐漸普及的背景下,，我們認(rèn)為兩類廠商最為受益：一是綜合實(shí)力強(qiáng)勁并已有相應(yīng)產(chǎn)品或解決方 案推出的網(wǎng)絡(luò)安全公司；二是在 SDP,、IAM,、MSG 或是某一應(yīng)用場景具備突出優(yōu)勢的廠商。