国内外零信任：我们不一样

前言

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源，同时它也代表新一代的网络安全防护理念，打破默认的“信任”，秉持“持续验证，永不信任”原则，即默认不信任网络内外的任何人、设备和系统，基于身份认证和授权，重新构建访问控制的信任基础，确保身份可信、设备可信、应用可信和链路可信。本文旨在通过零信任技术在国内外的发展路线，帮助您对零信任这一安全理念有更为全面的了解。

备受关注的零信任国内外的技术路线有何异同?

我们都知道“零信任”这一理念最早是在美国提出的，为什么最早会在美国?这与美国蓬勃发展的云计算、大数据技术是息息相关的。

随着零信任技术体系的完善，加上不断增长的云应用/WEB应用，企业对于这种动态认证和最小化权限管理事中转事前的安全防御理念更为接受。

Google这种互联网巨头的零信任的实践证明，更坚定了资本和厂商的投入，如今美国最大安全公司不是防火墙类传统公司，而是零信任公司。

反观国内，移动互联网业务蓬勃发展，线上支付业务的发展伴随着移动业务的发展一起向前，线上支付的安全性是阿里巴巴、腾讯这些互联网巨头首要考虑的问题，零信任这一安全理念，也是最早在国内互联网移动支付领域得到实践和实用。

随着零信任理念在国内的传播，这一安全理念也逐步得到更多企事业的认可。

如移动办公模式在疫情期间得到广泛应用，单一虚拟专用网接入保障在这期间出现了不少的安全事件，如何提高远程办公、远程接入以及业务应用的安全性，让更多企事业客户选择了零信任安全理念，一时间零信任安全厂商如雨后春笋般涌现。

本文旨在通过零信任技术在国内外的发展路线，帮助您对零信任这一安全理念有更为全面的了解。

1. 国外零信任SaaS技术路线

美国零信任SaaS化发展迅猛，已经实施零信任SaaS超过30%，还有44%客户正准备实施。

零信任SaaS假设所有人不可信，先验证身份再授权访问资源;以身份为中心，经过“预验证”“预授权”才能获得访问系统的单次通道;最小权限原则，每次赋予用户所能完成工作的最小访问权限;动态访问控制，所有访问通道都是单次的，动态访问控制策略。

根据Forrester报告,零信任SaaS系统商要对零信任有深刻的认识、较强的微隔离能力、广泛的集成和API能力、识别并监控任何可能带来风险的身份的能力(不仅是IAM)。

如零信任巨头OKTA采用SaaS订阅模式，零信任SaaS深入企业业务流程和人员，收入续费率在120%。零信任SaaS要求企业掌握微隔离、数据安全等技术，领军公司通常对网络管理、防火墙、云安全有深刻理解。

随着零信任市场的火热发展，在美国有更多公司加入到零信任商业活动中来，我们把美国的零信任商业公司分为三类：

一是自用转外销型。代表企业如：Google、Akamai、Microsoft等;
二是收购建能型。代表企业如：Cisco、Symantec、Palo Alto Network、Unisys、Proofpoint等;
三是技术初创型。代表企业如：Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。

在美国未来市场，很多机构都给予了很高的期望，根据Cybersecurity Insider的调查，15%的受访IT团队已经实施零信任SaaS，44%表示准备部署。

根据Gartner估计，到2022年，面向生态系统合作伙伴开放的80%新数字业务应用程序将通过零信任网络(ZTNA)进行访问。到2023年，60%的企业将淘汰大部分远程访问虚拟专用网络，转而使用零信任SaaS。

2. 国内互联网厂商技术实践

随着国内互联网的快速发展，互联网企业的信息化程度、移动化程度的不断提高，企业“内部业务系统”逐步成为组织的核心资产，随时随地处理企业内部业务系统变得越来越普遍。

但是分布在全国/全球的多个分支子公司或办事处不一定有专线到集团内网，经常通过公网虚拟专用网连接，存在安全性不足和访问效率低等问题。同时，并购公司、合作公司的网络安全管理机制与集团公司很难保持一致，其访问集团内网资源时，存在人员身份校验和设备安全可信等问题。

基于此需求，腾讯从2015年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统-腾讯ioA，实现了身份安全可信、设备安全可信、应用进程可信、链路保护与加速优化等多种功能，能够满足无边界办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等六大场景的动态访问控制需求，为企业达到无边界的最小权限安全访问控制，实现安全管理升级提供一站式的零信任安全方案。

阿里云推出办公零信任解决方案，类似谷歌的BeyondCorp简化版本。通过Agent终端管控，SPG(Service Provide Gateway)应用接入和IDaaS身份认证齐头并进，可以提供灵活的组合方案从而满足企业的要求。

该方案可概括为“可信”、“动态”两个关键字，包含两个核心的模块和组件。第一个模块是远程终端安全管理，是对远程终端进行可信的认证以及身份的管理，能实时而非静态的判断路网设备的安全性。第二个模块是云端的动态决策管控，一方面对所有用户身份进行统一的高强度安全认证，另一方面，系统可结合各种安全因子来动态分配用户权限。

3. 国内安全厂商的技术路线

国内零信任技术的炒作从2015年开始逐步在各个行业市场展开，由于零信任安全技术从国外的云厂商以及咨询机构逐步传递进来，国内安全厂家都从各自公司的产品优势出发，优先宣传解决方案，2019年开始逐步有可参考的案例出现。

同时，国内的信息安全市场有别于国外欧美市场，目前国内网络安全市场需求主要集中于政府部委级和大的行业(如金融、运营商、能源等)，这些客户目前私有云或混合云已经建成，头部客户基于自身业务出发，对零信任这一先进安全理念更为接受。

国外成功商业模式的诱导和国内头部客户的切实需求，共同驱动着国内资本和安全厂商在零信任这一领域加大投入，目前国内厂商技术路线主要由零信任SDP技术路线、零信任IAM技术路线、BeyondCorp技术路线三种类型组成。

(1) 零信任SDP技术路线

云安全联盟在2014年发布了《SDP标准规范V1.0》英文版，中文版于2019年发布。Gartner将SDP定义为零信任的最佳实践，加上SDP标准的发布，让国内更多厂商在SDP方案上有了更明确的方向，每家厂商根据自已技术积累的不同，在SDP方案上形成了不同的特色。

(2) 零信任IAM技术路线

IAM(Identity and Access Management 身份与访问管理)是网络安全领域中的一个细分方向。

从效果上来看，IAM产品可以定义和管理用户的角色和访问权限，即决定了谁可以访问，如何进行访问，访问后可以执行哪些操作等。

IAM解决方案也包含了4A特性：账号、认证、授权、审计。这些特性，在零信任安全中都具备且为关键特性，这个特点也导致IAM厂家进行零信任安全架构迁移的成本更低，效率更明显。IAM细分市场，主要解决用户的应用访问和权限控制问题，因此该类零信任技术方案更侧重于用户的应用侧和数据侧访问，对于网络接入和远程访问场景下的技术覆盖度不高。

(3) BeyondCorp技术路线

谷歌的BeyongCorp是较早落地的零信任项目。BeyondCorp实现的核心是引入或扩展网络组件，例如单点登录，访问代理，访问控制引擎，用户清单，设备清单，安全策略和信任库。这些组件协同工作，以维护三个指导原则：