零信任：网络安全产业下一轮爆发点.docx

零信任：网络安全产业下一轮爆发点

近年来，全球市场上零信任的声音越来越大。在国外，谷歌、微软、思科等IT企业领衔布局零信任；在国内，不仅奇安信、深信服等公司相继围绕零信任展开了激烈的角逐，腾讯、华为等也纷纷重磅加码，火爆程度不言而喻。专家认为，零信任有望成为网络安全下一轮爆发点。

零信任的核心价值：打破边界

Forrester分析师约翰·金德维格在2010年首次提出的零信任概念包含三个核心观点：一是不再以一个清晰的边界来划分信任或不信任的设备，二是不再有信任或不信任的网络，三是不再有信任或不信任的用户。“零信任”一经亮相，迅速吸引了诸多安全专家的关注，但彼时并未在市场端激起太大浪花。直到2017年Google基于零信任安全的BeyondCorp项目成功验证了零信任安全在大型网络场景下的可行性，业内才开始普遍跟进零信任实践。新冠肺炎疫情的发生是个显著的转折点，随着网络安全形势日益严峻和新一代信息技术的普及，零信任的热度骤增。

传统网络安全架构理念是基于边界的安全架构，企业构建网络安全体系时，首先寻找安全边界，把网络划分为外网、内网、隔离区等不同的区域，然后在边界上部署防火墙、入侵检测等安全产品。这种网络安全架构假设或默认了内网比外网更安全，因此一旦攻击者潜入内网，或者攻击者本身被内网信任，那么安全边界就形同虚设。不同于这种以网络为中心的防护思路，零信任建立的是以身份为中心，以识别、持续认证、动态访问控制、授权、审计以及监测为链条，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。它的核心目标就是解决边界问题带来的安全风险。

相较而言，零信任的优点在于其动态综合纵深安全防御能力，整个防护控制都基于身份，并对身份进行持续确认。在“网络可能或已经被攻陷、存在内部威胁”的环境下，把安全能力从边界扩展到主体、行为、客体资源，安全解决以前传统边界无法应对的难题。奇安信副总工程师邬怡在接受《中国电子报》记者采访时指出：“零信任之所以爆火主要是因为整个信息化环境从之前的以网络为中心变成现在的以数据为中心，传统的边界防护模式已经逐渐‘失灵’。”

根据IDC研究，随着云计算、大数据、移动互联网、物联网、5G等技术广泛应用到企业信息化建设和业务发展中，远程办公、业务协同、分支互联等业务需求快速发展，企业的员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统，企业原有的网络边界逐渐泛化。这导致基于边界的传统安全架构不再可靠，零信任成为一个必选项。

腾讯企业IT安全架构师蔡东赟在接受《中国电子报》记者采访时分析称：“从安全趋势上看，内网安全基于边界的安全已经不是那么牢不可破，数字化办公发展导致没有边界内网。核心的爆发点还是来自于疫情带来的物理隔断，大家远程办公，这是最基本的适用场景，人们已经不得不使用这种架构。”

同时，云计算业务天然需要零信任。云计算的快速发展和普及应用，包括应用云化，基础架构的异构化和混合化，业务的数字生态化以及接入网络及设备的多元化等因素，推动了更多企业开始通过部署零信任架构来建立能够适应云时代的全新安全体系。

Forrester高级顾问谷丰指出，从最初的原型概念向主流网络安全技术架构演进，从最初的网络控制平面的微分段向涵盖云边端的访问控制与网络防护全场景演进，零信任如今已经成为新一代安全架构的标准。零信任的兴起不能简单看作是某种技术、产品的扩展，而是对固有安全思路的改变，这是它的核心价值点。

中国零信任市场尚未发育成熟

得益于云计算、大数据等技术的蓬勃发展，美国最早提出了零信任概念，且花费了大力气投入布局。从国家层面来看，美国国防部在零信任概念成型之前就已开始相关研究。2021年5月，美国政府发布的14028号行政命令《改善国家网络安全》，宣布要将联邦政府迁移到零信任架构。随后，《联邦零信任战略》《零信任成熟度模型》《云安全技术参考架构》相继出台，组成了联邦各级机构的网络安全架构路线。如今美国最大的安全公司不是防火墙类传统公司，而是零信任SaaS公司。典型的零信任公司Okta市值达333.51亿美元，远超传统安全公司。

Okta发布的《2021零信任安全态势》白皮书指出，2021年有82%的欧洲企业增加了在零信任建设方面的预算。另一家网络安全厂商Gigamon的调研结果显示，超过2/3的欧洲组织已采用或计划采用零信任框架，以应对不断变化的威胁形势。

而在国外已经实现规模化应用的零信任，在中国落地时似乎有点“水土不服”。尽管工信部2019年发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》已将“零信任安全”列入需要“着力突破的网络安全关键技术”。但目前来看，零信任市场发育成熟度仍有不足。

“相较于欧美国家，国内在零信任方面仍处于起步阶段。”