二

零信任发展历程

零信任安全最早是2010年由Forrester的首席分析师 John Kindervag提出。2011年Google在内部开始实施BeyondCorp方案并于2014年发表了6篇论文，从而成为零信任的经典案例并被广泛关注。同时云安全联盟CSA于2013年提出基于零信任的网络安全架构SDP（即软件定义边界），但是各大厂商直到2017年才开始广泛跟进并实施零信任相关的方案。

三

零信任市场概述

Gartner发布的2020云安全技术成熟度曲线（如图2所示）显示零信任正在跨过低谷，将进入市场成熟期并快速发展。今年新冠疫情催生的远程办公需求的暴涨，零信任产业必将迎来飞速发展，零信任市场也会因此快步进入成熟期。Gartner预测到2022年，面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络架构（ZTNA）进行访问。到2023年60%的企业将淘汰大部分远程访问虚拟专用网络（VPN），转而使用ZTNA。

图2 云安全技术成熟度曲线

再看中国市场，在本次收集的样本数据中，有超过90%的企业都认为零信任是一个亿级的市场，将近50%的企业认为至少是百亿级市场（如图3所示）。另外如本文开头所述，零信任安全已经被工信部列为网络安全需要突破的关键技术，在国家加速推进网络强国战略的大背景下，零信任的发展必然迎来新的契机。

图3 中国零信任市场规模预期

从客户行业分布来看，目前国内零信任的目标客户主要集中在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。基中50%以上的零信任厂商都认为政企、金融、能源、互联网、运营商、教育、 医疗、电力、交通、公安、制造业是他们的主要目标行业（如图4所示）。

图4 零信任目标行业分布图

四

零信任实施流程概述

前面简要分析了目前国内零信任的概况，那么作为甲方，如何实施零信任战略、落地零信任方案呢？本文针对零信任方案实施的总体流程进行了如下简要说明：

● 业务驱动需求：业务驱动是获得组织支持和预算的基本前提。

● 咨询/培训：如果预算允许，在实施零信任前先进行相关的专业咨询和培训有助于项目的成功落地。

● 业务分类分级：通过分类分级找出关键试点业务进行尝试，成功以后再进行横向推广。

● 确定保护对象：确定上述关键业务所涉及的保护对象。零信任常见的保护对象主要有数据、应用、设备/设施/工作负载等，详情参考本文第五节“明确保护对象”。

● 确定业务场景：确定要实施零信任的具体业务场景，零信任常见的业务场景主要包括远程办公、外部协作、数据中心和云计算平台等，详情参考本文第六节“确定业务场景”。

● 选择服务厂商：根据需求选择相应的厂商，详情参考本文第七节“选择零信任厂商”

● 选择技术方案/产品：选择恰当的零信任技术方案，确定是采用SDP、IAM还是MSG。相关技术方案的详情参考本文第八节“选择技术方案/产品”。

● 选择服务模式：选择组织能接受的服务模式，确定是采用云服务还是私有化部署。相关服务模式参考本文第九节“选择服务模式”。

● 选择部署架构：选择适合业务场景的部署架构，确定是采用设备代理/网关部署、飞地部署还资源门户和沙箱。部署架构详情参考本文第十节“选择部署架构”。

● 方案实施落地：按计划推进方案落地并逐渐扩大业务范围，在更大范围内进行推广。

五

明确保护对象

明确保护对象是零信任工作的源头和起点。零信任保护的对象主要有数据、应用、设备/设施/工作负载。保护数据主要是指防止数据泄露和非授权访问；保护应用主要是应用程序的隐身、应用的细粒度动态权限管控、以及业务安全等；保护设备/设施/工作负载主要是指终端设备、基础设施或工作负载的隔离与保护，比如云主机、容器等工作负载之间的隔离与安全保护。按保护对象分类，相关的代表厂商如图5所示：

图5 零信任保护对象代表厂商

六

确定业务场景

业务场景决定了技术方案，明确业务场景有利于选择恰当的方案。零信任技术可以被用于很多业务场景，典型的场景有：远程办公、外部协作、数据中心和云计算平台，除此以外零信任还可以被用于企业源代码防泄露、网络安全运营、智慧政务、电子合同、业务安全（如反欺诈、UEBA等）。本文仅针对远程办公、外部协作、数据中心和云计算平台几个具场景进行介绍。按业务场景分类，相关代表厂商如图6所示：

图6 零信任业务场景代表厂商

‍

七

选择零信任厂商

厂商的选择涉及方方面面的尽职调查，因此本文只根据业务类型提供厂商的分类信息，而不会对相同业务类型的不同厂商进行比较和排名。零信任相关的业务类型主要包括提供产品与解决方案、提供资源服务、提供测评服务和提供培训服务等。其中98%的受访企业均能提供零信任相关的软硬件产品和服务，因此提供零信任相关的软硬件产品或解决方案也成为目前零信任厂商最主要的业务类型。按业务类型分类，相关代表厂商如图7所示。 ‍

图7 零信任业务类型代表厂商

八

选择技术方案/产品

合适的技术方案/产品是项目成功的保障，应该根据上述的保护对象和业务场景来选择最合适的技术方案，确保方案与场景匹配。零信任的三大核心技术可以用SIM来表示，其中S代表SDP（软件定义边界）、I代表IAM（身份与访问管理）、M代表MSG(微隔离或微微分段)，除此以外还有一些辅助技术如密码技术、MFA多因素认证、NAC新一代终端准入、XACML、下一代沙箱、用户行为分析(UEBA)、安全运营中心（SOC）、威胁情报（TI）、移动端虚拟安全域技术（VSA）、安全信息事件管理（SIEM）、持续自适应认证、端点核心安全、软件定义广域网（SD-WAN）、PKI/CA、安全自动化编排与响应(SOAR)、基于标记和认证的会话控制技术等。本文主要介绍三大核心技术SIM。按零信任涉及的技术分类，相关的代表厂商如图8所示。

图8 零信任技术方案代表厂商

九

选择服务模式

不同安全要求的组织对不同服务部署的敏感程度也不一样。零信任的服务模式主要包括私有化、云化以及混合模式。私有化是指相关的产品或服务是以私有化的形式提供，用户独占相关的资源或服务；云化是指通过公有云的形式为用户提供零信任相关的服务，所有的用户共享云资源；混合模式是指同时支持私有化和云化两种模式。不同的组织对每一种类型的服务模式敏感程度也不同，比如很多高监管行业的客户可能很难接受公有云的服务模式，这种情况下可能就得选择私有化的服务模式，将相关的产品在自己的私有环境进行部署。相反如果对服务模式没有那么敏感，就可以有更多的选择。如果选择公有云服务模式，还能节省相关的IT基础设施成本支出，节省的成本又可以用作其他安全投入。按服务模式分类，相关的代表厂商如图9所示。

图9 零信任服务模式代表厂商

十

选择部署架构

部署架构的选择很能大程度上取决于业务场景，需要根据具体的业务场景选择恰当的部署架构。零信任的经典部署架构主要包括三种：设备代理/网关部署、飞地部署、资源门户和沙箱。其中设备代理/网关部署架构PEP位于资源上或资源前，网关是资源的代理，资源只与网关通信。飞地部署架构网关不在系统或资源前面，而是位于资源飞地边界(如某一数据中心的边界)。资源门户部署架构PEP充当用户请求网关(如公有云的资源管理门户、企业的办公门户站点等)。沙箱部署则是通过沙箱让程序隔离运行。除此以外还有Overlay部署、核心交换机旁路部署、主机独立硬件卡部署、基于硬件的微隔离等。按部署架构分类，相关的代表厂商如图10所示。

图10 零信任部署架构代表厂商

十一

方案实施落地

实施阶段主要是按照上述环节中选定的方案进行部署、测试、验收和交付的过程。因为不同组织的状况和业务场景都可能存在差异，所以在实施过程中可能会涉及到对标准产品或方案的裁减与定制，这对零信任产品或方案本身的定制化能力提出了要求。另外零信任的理念是“从不信任、永远验证”，因此在实施零信任过程中可能会对用户体验造成影响，从而成为方案实施的阻力。所以业务驱动和组织支持是方案顺利落地的前提。

附录：综合案例学习

为了让读者对零信任的应用有一个更直观的了解，我们特征集了部分已经落地的案例和解决方案供学习。

01.

腾讯零信任方案

方案介绍：

腾讯安全依托于腾讯多年内网安全管理的经验以及业界的最佳实践，利用终端安全评估和管控、统一身份管理和授权、零信任网关以及动态授权评估等组件，构建了腾讯的零信任安全解决方案。无论是远程办公，远程运维，全球业务加速还是多云接入的场景都可以获得快捷安全的接入体验。方案的架构如图：

图11 腾讯零信任方案架构图

该方案包含的关键内容如下：

● 动态可信评估：在传统的身份认证基础上，集成了动态令牌、生物特征等多因素认证机制，杜绝身份盗用和伪造问题。同时，策略分析引擎实时分析终端状况和用户行为，对可疑行为进行二次认证或阻断，确保访问合法可靠。

● 无客户端/轻客户端接入：为了便于客户、第三方合作伙伴接入，零信任网关支持B/S模式接入，用户可通过标准浏览器或企业微信等多种方式接入并访问企业应用。

● 终端安全保护：终端防护平台采用模块化架构，根据用户的部署场景灵活拓展安全或管理功能，包括：终端加固与合规检测、防病毒、EDR、入侵检测、终端外设管控、文件审计、数据防泄漏等。

● 一键快速部署：腾讯零信任安全解决方案为客户提供多种部署模式，支持SaaS化模式及私有化模式，SaaS模式下支持多租户共享及资源独享两种模式，可一键部署及开通服务。

方案价值：

腾讯零信任安全解决方案可以帮助数字化转型企业应对用户接入面临的安全挑战，保护企业内的业务和数据的访问，确保用户身份安全，设备安全和应用安全，建立可信的访问链 ，持续评估访用户请求并授予最小授权，大幅降低攻击面并提升安全管理效能。

02.

天融信--某集团多级分支机构零信任解决方案

项目背景：

随着企业拥抱云计算、移动互联网、IoT等新兴技术，企业的数据和应用都不再局限在内网，因此传统基于防火墙的物理边界防御已经无法适应需求，取而代之是软件定义边界，即SDP。主张网络隐身、零信任、最小授权，是更适用于云和移动时代的企业安全架构。

适用场景：

总部及各分公司人员多，层级复杂，身份繁杂且应用权限众多，需要加强业务系统的保密性，隐藏业务系统，减少公司业务系统的暴露面。需要对接入业务系统的人员做身份预认证，访问预授权，不同身份的人员给予不同的访问权限，对应用级的访问进行准入控制。

方案介绍：

技术方案

SDP技术方案包含SDP客户端、SDP控制器和SDP网关三个部分。方案架构如图12所示：

图12 天融信SDP技术架构图

● SDP 客户端：向SDP控制器提交认证信息进行身份认证。

● SDP控制器：是一个管理控制台，用来对所有的SDP 客户端进行管理，制定安全策略。

● SDP网关：所有对业务系统的访问都是要经过SDP网关的验证和过滤。

为了强化用户认证与权限管理部分，可提供增强组件IAM实现更细致的 身份管控功能。

部署方案

● 在集团总部部署SDP控制器。总部和各级人员通过SDP客户端访问业务系统之前，会向SDP控制器发起认证和权限请求。

● 对接集团总部的IAM系统，用于实现身份认证和权限管控。

● 在总部、各级分支业务中心分别部署的SDP网关。当用户发起访问请求时，SDP控制器联动验证用户的身份和权限。

● 确认访问用户的身份和访问权限后，SDP控制器会授权访问用户及可访问的SDP网关，允许访问用户访问相应的业务系统。

图13 天融信SDP部署架构图

方案价值：

天融信零信任体系SDP解决方案可以帮助集团用户建立三级体系的安全访问体系，实现业务安全访问需求，整个方案通过预授权提前划分好业务访问的细粒度权限，区分客户端所能访问的网关和应用，避免业务直接暴露在互联网，也避免黑客提前知道网关入口，进行嗅探和尝试。

03.

奇安信零信任身份安全解决方案

方案介绍：

云计算和大数据时代，信息技术得到了快速发展，但同时也给信息安全带来了新挑战：企业内部外部威胁愈演愈烈，导致传统的边界安全架构正在失效。奇安信零信任身份安全解决方案，通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力，应用身份管理与访问控制、访问代理、端口隐藏等技术，基于对网络所有参与实体的数字身份，对默认不可信的所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度动态对权限进行调整，最终在访问主体和访问客体之间建立一种动态的信任关系。方案的架构如图14所示：

图14 奇安信零信任方案架构图

方案价值：

奇安信零信任身份安全解决方案，通过全面化的身份认证能力、动态化的用户授权、传输数据的加密与攻击防护能力，智能化的访问行为数据分析能力，全方位、全时地保障企业数据访问的安全性；以自动化的方式实现统一的身份管理、用户认证与授权能力，减少了企业IT人员工作量及人为出错几率，大大降低了安全运维成本；同时解决方案为用户提供了可随时随地访问业务数据能力，同时通过终端环境自动感知、一站式门户访问、单点登录，减少用户访问认证的繁琐操作，实现无缝式的访问体验，有效提高用户工作效率，有效提升了体验与安全的平衡。

适用场景：

目前，解决方案覆盖了政企行业用户的典型应用场景，如远程访问场景、数据交换场景和服务网格场景等；在大型部委、金融、央企等头部行业，奇安信零信任身份安全解决方案已经全面落地。

关注本公众号“云安全联盟CSA”，回复“ 全景图”，下载《2020中国零信任全景图》高清图。 返回搜狐，查看更多