前言：零信任的出現(xiàn)將網(wǎng)絡防御范圍從廣泛的網(wǎng)絡邊界轉(zhuǎn)移到單個或小組資源,，同時它也代表新一代的網(wǎng)絡安全防護理念，打破默認的“信任”,，秉持“持續(xù)驗證,，永不信任”原則,，即默認不信任網(wǎng)絡內(nèi)外的任何人、設備和系統(tǒng),，基于身份認證和授權(quán),，重新構(gòu)建訪問控制的信任基礎，確保身份可信,、設備可信,、應用可信和鏈路可信。本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線,，幫助您對零信任這一安全理念有更為全面的了解,。

　　我們都知道“零信任”這一理念最早是在美國提出的，為什么最早會在美國,？這與美國蓬勃發(fā)展的云計算,、大數(shù)據(jù)技術(shù)是息息相關(guān)的。

　　隨著零信任技術(shù)體系的完善,，加上不斷增長的云應用/WEB應用,，企業(yè)對于這種動態(tài)認證和最小化權(quán)限管理事中轉(zhuǎn)事前的安全防御理念更為接受。

　　Google這種互聯(lián)網(wǎng)巨頭的零信任的實踐證明,，更堅定了資本和廠商的投入,，如今美國最大安全公司不是防火墻類傳統(tǒng)公司，而是零信任公司,。

　　反觀國內(nèi)，移動互聯(lián)網(wǎng)業(yè)務蓬勃發(fā)展,，線上支付業(yè)務的發(fā)展伴隨著移動業(yè)務的發(fā)展一起向前,，線上支付的安全性是阿里巴巴、騰訊這些互聯(lián)網(wǎng)巨頭首要考慮的問題，零信任這一安全理念,，也是最早在國內(nèi)互聯(lián)網(wǎng)移動支付領域得到實踐和實用,。

　　隨著零信任理念在國內(nèi)的傳播，這一安全理念也逐步得到更多企事業(yè)的認可,。

　　如移動辦公模式在疫情期間得到廣泛應用,，單一VPN接入保障在這期間出現(xiàn)了不少的安全事件，如何提高遠程辦公,、遠程接入以及業(yè)務應用的安全性,，讓更多企事業(yè)客戶選擇了零信任安全理念，一時間零信任安全廠商如雨后春筍般涌現(xiàn),。

　　本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線,，幫助您對零信任這一安全理念有更為全面的了解。

　　一,、國外零信任SaaS技術(shù)路線

　　美國零信任SaaS化發(fā)展迅猛,，已經(jīng)實施零信任SaaS超過30%，還有44%客戶正準備實施,。

　　零信任SaaS假設所有人不可信,，先驗證身份再授權(quán)訪問資源；以身份為中心,，經(jīng)過“預驗證”“預授權(quán)”才能獲得訪問系統(tǒng)的單次通道,；最小權(quán)限原則，每次賦予用戶所能完成工作的最小訪問權(quán)限,；動態(tài)訪問控制,，所有訪問通道都是單次的，動態(tài)訪問控制策略,。

　　根據(jù)Forrester報告,，零信任SaaS系統(tǒng)商要對零信任有深刻的認識、較強的微隔離能力,、廣泛的集成和API能力,、識別并監(jiān)控任何可能帶來風險的身份的能力（不僅是IAM）。

　　如零信任巨頭OKTA采用SaaS訂閱模式,，零信任SaaS深入企業(yè)業(yè)務流程和人員,，收入續(xù)費率在120%。零信任SaaS要求企業(yè)掌握微隔離,、數(shù)據(jù)安全等技術(shù),，領軍公司通常對網(wǎng)絡管理、防火墻,、云安全有深刻理解,。

　　隨著零信任市場的火熱發(fā)展，在美國有更多公司加入到零信任商業(yè)活動中來，我們把美國的零信任商業(yè)公司分為三類：

　　一是自用轉(zhuǎn)外銷型,。代表企業(yè)如：Google,、Akamai、Microsoft等,；

　　二是收購建能型,。代表企業(yè)如：Cisco、Symantec,、Palo Alto Network,、Unisys、Proofpoint等,；

　　三是技術(shù)初創(chuàng)型,。代表企業(yè)如：Zscaler、Okta,、Cloudflare,、Illumio、Cyxtera等,。

　　在美國未來市場,，很多機構(gòu)都給予了很高的期望，根據(jù)Cybersecurity Insider的調(diào)查,，15%的受訪IT團隊已經(jīng)實施零信任SaaS,，44%表示準備部署。

　　根據(jù)Gartner估計,，到2022年,，面向生態(tài)系統(tǒng)合作伙伴開放的80%新數(shù)字業(yè)務應用程序?qū)⑼ㄟ^零信任網(wǎng)絡（ZTNA）進行訪問。到2023年,，60%的企業(yè)將淘汰大部分遠程訪問虛擬專用網(wǎng)絡,，轉(zhuǎn)而使用零信任SaaS。

　　二,、國內(nèi)互聯(lián)網(wǎng)廠商技術(shù)實踐

　　隨著國內(nèi)互聯(lián)網(wǎng)的快速發(fā)展,，互聯(lián)網(wǎng)企業(yè)的信息化程度、移動化程度的不斷提高,，企業(yè)“內(nèi)部業(yè)務系統(tǒng)”逐步成為組織的核心資產(chǎn),，隨時隨地處理企業(yè)內(nèi)部業(yè)務系統(tǒng)變得越來越普遍。

　　但是分布在全國/全球的多個分支子公司或辦事處不一定有專線到集團內(nèi)網(wǎng),，經(jīng)常通過公網(wǎng)VPN連接,，存在安全性不足和訪問效率低等問題。同時,，并購公司,、合作公司的網(wǎng)絡安全管理機制與集團公司很難保持一致,，其訪問集團內(nèi)網(wǎng)資源時，存在人員身份校驗和設備安全可信等問題,。

　　基于此需求，騰訊從2015年開始自主設計,、研發(fā)并在內(nèi)部實踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA,，實現(xiàn)了身份安全可信、設備安全可信,、應用進程可信,、鏈路保護與加速優(yōu)化等多種功能，能夠滿足無邊界辦公/運維,、混合云業(yè)務,、分支安全接入、應用數(shù)據(jù)安全調(diào)用,、統(tǒng)一身份與業(yè)務集中管控,、全球鏈路加速訪問等六大場景的動態(tài)訪問控制需求，為企業(yè)達到無邊界的最小權(quán)限安全訪問控制,，實現(xiàn)安全管理升級提供一站式的零信任安全方案,。

　　阿里云推出辦公零信任解決方案，類似谷歌的BeyondCorp簡化版本,。通過Agent終端管控,，SPG（Service Provide Gateway）應用接入和IDaaS身份認證齊頭并進，可以提供靈活的組合方案從而滿足企業(yè)的要求,。

　　該方案可概括為“可信”,、“動態(tài)”兩個關(guān)鍵字，包含兩個核心的模塊和組件,。第一個模塊是遠程終端安全管理,，是對遠程終端進行可信的認證以及身份的管理，能實時而非靜態(tài)的判斷路網(wǎng)設備的安全性,。第二個模塊是云端的動態(tài)決策管控,，一方面對所有用戶身份進行統(tǒng)一的高強度安全認證，另一方面,，系統(tǒng)可結(jié)合各種安全因子來動態(tài)分配用戶權(quán)限,。

　　三、國內(nèi)安全廠商的技術(shù)路線

　　國內(nèi)零信任技術(shù)的炒作從2015年開始逐步在各個行業(yè)市場展開,，由于零信任安全技術(shù)從國外的云廠商以及咨詢機構(gòu)逐步傳遞進來,，國內(nèi)安全廠家都從各自公司的產(chǎn)品優(yōu)勢出發(fā)，優(yōu)先宣傳解決方案,，2019年開始逐步有可參考的案例出現(xiàn),。

　　同時,，國內(nèi)的信息安全市場有別于國外歐美市場，目前國內(nèi)網(wǎng)絡安全市場需求主要集中于政府部委級和大的,？業(yè)（如,？融、運營商,、能源等）,，這些客戶目前私有云或混合云已經(jīng)建成，頭部客戶基于自身業(yè)務出發(fā),，對零信任這一先進安全理念更為接受,。

　　國外成功商業(yè)模式的誘導和國內(nèi)頭部客戶的切實需求，共同驅(qū)動著國內(nèi)資本和安全廠商在零信任這一領域加大投入,，目前國內(nèi)廠商技術(shù)路線主要由零信任SDP技術(shù)路線,、零信任IAM技術(shù)路線、BeyondCorp技術(shù)路線三種類型組成,。

　　零信任SDP技術(shù)路線

　　云安全聯(lián)盟在2014年發(fā)布了《SDP標準規(guī)范V1.0》英文版,，中文版于2019年發(fā)布。Gartner將SDP定義為零信任的最佳實踐,，加上SDP標準的發(fā)布,，讓國內(nèi)更多廠商在SDP方案上有了更明確的方向，每家廠商根據(jù)自已技術(shù)積累的不同,，在SDP方案上形成了不同的特色,。

　　啟明星辰集團作為網(wǎng)絡安全行業(yè)龍頭企業(yè)，以其多年的踏實耕耘,、積極穩(wěn)健的安全生態(tài)布局,，在業(yè)內(nèi)形成了最為完整的產(chǎn)品鏈，為其SDP的發(fā)展打下了堅實的基礎,。

　　啟明星辰eTrust SDP安全理念是以身份為中心,，構(gòu)建網(wǎng)絡隱身、可信接入,、動態(tài)訪控,、簡易運維的零信任安全架構(gòu)。其eTrust客戶端,、eTrust網(wǎng)關(guān),、eTrust控制器、ASCG等組件,，幫助用戶實現(xiàn)網(wǎng)絡隱身,、持續(xù)可信接入、動態(tài)訪問控制,、最小權(quán)限管理等零信任安全能力,，為用戶遠程接入,、應用訪問、數(shù)據(jù)保護提供一體化的零信任安全方案,。

　　零信任IAM技術(shù)路線

　　IAM（Identity and Access Management 身份與訪問管理）是網(wǎng)絡安全領域中的一個細分方向,。

　　從效果上來看，IAM產(chǎn)品可以定義和管理用戶的角色和訪問權(quán)限,，即決定了誰可以訪問,，如何進行訪問，訪問后可以執(zhí)行哪些操作等,。

　　IAM解決方案也包含了4A特性：賬號、認證,、授權(quán),、審計。這些特性,，在零信任安全中都具備且為關(guān)鍵特性,，這個特點也導致IAM廠家進行零信任安全架構(gòu)遷移的成本更低，效率更明顯,。

　　IAM細分市場,，主要解決用戶的應用訪問和權(quán)限控制問題，因此該類零信任技術(shù)方案更側(cè)重于用戶的應用側(cè)和數(shù)據(jù)側(cè)訪問,，對于網(wǎng)絡接入和遠程訪問場景下的技術(shù)覆蓋度不高,。

　　啟明星辰集團憑借在電信運營商行業(yè)十多年的IAM最佳實踐，為用戶提供經(jīng)得起考驗的高可靠性電信級IAM產(chǎn)品,。其IAM需具備以下能力：

　　1,、支持多維度身份管理和屬性靈活擴展

　　支持為訪問主體創(chuàng)建全網(wǎng)唯一身份信息，訪問主體可包括內(nèi)部及外部用戶,、第三方系統(tǒng),、設備等，提供統(tǒng)一的身份全生命周期管理,，對身份的操作包括建立,、修改、凍結(jié),、刪除等內(nèi)容,，用于滿足實際維護和操作過程中，入職,、崗位變更,、離職等過程，并支持對身份屬性的自定義擴展,，滿足身份不同階段的屬性要求,。

　　2,、支持多種身份認證方式及認證協(xié)議

　　定義好主體身份后，還需提供身份校驗機制,，可支持多種身份認證方式及認證組合,，如靜態(tài)密碼、動態(tài)口令,、生物識別,、數(shù)字證書等，提升主體身份使用的安全性,。IAM除了自身需要提供統(tǒng)一認證之外,，還可承擔認證樞紐角色，可根據(jù)實際需要將所有認證請求轉(zhuǎn)發(fā)到外部認證服務器進行校驗,。

　　IAM可通過對標準認證協(xié)議的支持,，如Radius、Tacacs,、LDAP,、CAS、SAML,、OAuth2,、OIDC等，實現(xiàn)資源認證統(tǒng)一接入和單點登錄,。

　　3,、支持細粒度訪問控制

　　當合法的身份進行資源訪問時，支持對主體進行實體級和角色級授權(quán),，實體級授權(quán)通過主體與客體（資源賬號）的一對一,、一對多綁定實現(xiàn)，定義主體可以訪問哪些客體,。角色級授權(quán)則是在實體級授權(quán)上增加主體訪問客體的細粒度權(quán)限控制,，比如運維命令策略、數(shù)據(jù)庫運維動態(tài)脫敏,、應用頁面訪問控制,、頁面實時脫敏等，確保訪問授權(quán)最小化,。

　　權(quán)限控制是IAM的核心內(nèi)容,，在零信任建設中，由于引入了風險計算的概念,，通過對訪問主體持續(xù)的風險評估,，并根據(jù)評估結(jié)果實現(xiàn)細粒度的訪問和動態(tài)授權(quán)控制，極大地提升了訪問操作過程中權(quán)限調(diào)整的及時性和訪問的安全性,。

　　BeyondCorp技術(shù)路線

　　谷歌的BeyongCorp是較早落地的零信任項目,。BeyondCorp實現(xiàn)的核心是引入或擴展網(wǎng)絡組件,，例如單點登錄，訪問代理,，訪問控制引擎,，用戶清單，設備清單,，安全策略和信任庫,。這些組件協(xié)同工作，以維護三個指導原則：

　?。?1 ） 特定的網(wǎng)絡連接不得確定用戶可以訪問哪些服務,；

　　（ 2 ） 根據(jù)對用戶和設備的了解來授予對服務的訪問權(quán)限,；

　?。?3 ） 所有對服務的訪問都必須經(jīng)過認證，授權(quán)和加密,。

　　通過對比國內(nèi)外零信任的技術(shù)路線，我們可以看到國內(nèi)外零信任各有特色,、各呈風采,。

　　當前，在產(chǎn)業(yè)數(shù)字化升級與業(yè)務上云的發(fā)展趨勢下,，傳統(tǒng)企業(yè)保護邊界逐漸被瓦解,，以身份為中心的進行訪問控制的零信任安全，得到了越來越多行業(yè)客戶的認可與肯定,，毋庸置疑零信任將成為網(wǎng)絡安全行業(yè)發(fā)展的未來趨勢,。