據MarketsandMarkets預測，零信任安全市場規模預計將從2019年的156億美元增長到2024年的386億美元，2019至2024年的複合年均增長率為19.9%。

隨著產業數字化升級和企業“上雲”的不斷推進，零信任作為一種新安全理念，站上了市場的風口，成為全球網路安全的關鍵技術和大趨勢。

今年以來，零信任首個國家級標準制定工作、“零信任產品相容性認證計劃”相繼啟動，國內首部零信任實戰白皮書、“零信任系統技術規範”聯盟標準釋出......從國內零信任政策及標準逐步落地，到國內網際網路科技巨頭廠商積極佈局，市場的火熱已顯而易見。有業內人士預測，零信任現在還處於膨脹期，在未來的2-5年會成為一種主流方案。

那麼，在風口之下，零信任的未來清晰了嗎？

背景

零信任（Zero Trust），是2010年由諮詢公司 Forrester 的分析師John Kindervag提出的安全理念。中心思想是企業不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入企業系統的人/事/物進行驗證。

經過十年發展，零信任安全理念在國外已經被廣泛應用，在國內也受到國家相關部門和業界的高度關注。

零信任發展的第一個分水嶺出現在2017年，Google基於零信任安全提出的BeyondCorp計劃成功實施落地，從此眾多公司紛紛效仿。

BeyondCorp認為內、外網路都完全不可信，應透過動態判斷策略和強制執行訪問分級，來進行應用程式的訪問控制。如今，它已融入大部分谷歌員工的日常工作，針對谷歌的核心基礎架構提供基於使用者和裝置的身份驗證與授權服務。

圖1-BeyondCorp元件和訪問流程來源：BeyondCorp: A New Approach to Enterprise Security, Google

在國內，近幾年隨著網路安全上升到國家戰略層面，“沒有網路安全就沒有國家安全，沒有資訊化就沒有現代化。”零信任安全逐漸進入人們的視野。

2019工信部起草的《關於促進網路安全產業發展的指導意見(徵求意見稿)》中，“零信任安全”首次被列入網路安全需要突破的關鍵技術。同年，中國信通院釋出的《中國網路安全產業白皮書》指出，零信任已經從概念走向落地。這份白皮書也首次將零信任安全技術和5G、雲安全等並列列為我國網路安全重點細分領域技術。

2020年，受疫情影響，運程辦公應用需求集中爆發，極大地增加了企業網路資訊基礎設施的複雜性，傳統的解決方案已難以應對，零信任也迎來第二個分水嶺。

Gartner釋出的《2020年度九大安全與風險趨勢》報告顯示，零信任網路訪問(ZTNA)技術已經開始取代VPN。

好處

傳統的網路安全是基於防火牆的物理邊界防禦，前提假設是企業所有的辦公裝置和資料資源都在內網，內網是完全可信的。

然而隨著企業的安全邊界逐漸模糊，內外部攻擊威脅愈演愈烈，需要更好的措施來應對全新的網路安全挑戰。在這種情境下，零信任的概念應運而生。

零信任的本質是在一個不可信的開放網路環境下，以身份為中心，透過動態訪問控制技術，圍繞核心保護物件，遵循最小許可權原則，構築端到端的身份邊界。相較於傳統的網路安全有顯著的區別，主要存在於以下幾個方面：

1.顛覆傳統預設“信任”正規化。

傳統的網路安全，前提假設是企業內網是完全可信的。如果在內網發生安全事件，事後再去追溯。而零信任的核心原則是「永不信任，始終驗證」，每個使用者和端點在訪問之前都必須進行身份驗證。

2.從以網路為中心到以身份為中心。

傳統的網路安全訪問規則是先訪問資源再驗證身份，而零信任架構要求先驗證身份，再授權進行訪問。經過“預驗證”“預授權”使用者才能獲得訪問系統的單次通道，以此加強網路的安全性。

3.遵循最小許可權原則。

傳統的安全訪問許可權，大多是授予某個人或崗位一個特權賬號，帶來便利的同時也會帶來賬號濫用或盜用的風險。零信任架構則要求遵循最小許可權原則，每次賦予使用者所能完成工作的最小訪問許可權，降低了非法使用者或非法操作可能給系統及資料帶來的損失。

4.動態訪問控制。

傳統網路安全基本是遵循事先定義的靜態訪問規則，零信任的訪問規則都是實時動態建立，無法事先判斷規則允許與否，使得安全係數大大增加。

零信任架構描繪出若干好人的特徵，只有符合這些特徵的好人才可以進行訪問。即便持有“好人證”，以合法身份獲得訪問內網許可權的人，一旦出現不軌的舉動，許可權也可能會被收回。

與之相比，現有許多安全模式則是致力於識別壞人，但遺憾的是即便日積月累的海量“壞人庫”也無法把壞人的特徵勾畫全面。

從業務的角度來看，零信任安全的一大優勢在於“壞人”的特徵是無法窮盡的，而“好人”的特徵在特定場景下是可以窮盡的。

路徑

零信任既不是技術也不是產品，而是一種安全理念。因此，沒有單一的產品或解決方案能夠使企業獨自實現零信任。

但是，業內普遍認為軟體定義邊界（SDP）、身份與訪問管理（IAM）、微隔離（MSG）是實現零信任的三大技術路徑。

1. 軟體定義邊界（SDP）

SDP可將所有應用程式隱藏，訪問者不知應用的具體位置，同時所有訪問流量均透過加密方式傳輸，並在訪問端與被訪問端之間點對點傳輸。

其具備的持續認證、細粒度的上下文訪問控制、信令分離等防禦理念可有效解決企業業務拓展中的安全問題，成為了零信任理念的最佳踐行之一。

2.身份與訪問管理（IAM）

全面身份化是零信任架構的基石，零信任所需的 IAM 技術透過圍繞身份、許可權、環境等資訊進行有效管控與治理，從而保證正確的身份在正確的訪問環境下，基於正當理由訪問正確的資源。

3.微隔離（MSG）

微隔離透過細粒度的策略控制，可以靈活地實現業務系統內外部主機與主機的隔離，讓東西向流量可視可控，從而更加有效地防禦駭客或病毒持續性大面積的滲透和破壞。

場景

今年受疫情的影響以及新基建政策的推進，雲計算、大資料、行動網路等快速發展，零信任安全的市場需求正在呈現爆發式增長。

根據美國國家標準技術研究院(NIST)下屬的國家卓越網路安全中心(NCCoE)釋出的《實現零信任架構》(草案)專案說明書中，建議零信任安全應用的八大應用場景。

零信任安全應用的八大應用場景

1、分支機構訪問總部業務系統

2、企業多雲戰略

3、臨時工、外包員工訪問業務系統

4、跨企業協同

5、提供面向公眾或面向客戶的服務的企業

6、員工訪問網際網路資源

7、企業內的伺服器間通訊

8、建立企業資源的信任級別

對此，陳凱表示，從長遠看，這項技術將來部署在企業還是高校、醫院等機構都會比較合適。但它首先會落地於更容易獲利、受政策影響更大或資料價值較為敏感的行業，在這些行業中更加重視安全、處於龍頭地位的企業會成為零信任安全優先落地的選擇。

展望

當前，越來越多的企業意識到零信任的重要性。根據諮詢公司 Illumio 的最新企業調查，僅4％的人聲稱完全實施了零信任，但接近半數的企業已處於調研或試點階段。國內，騰訊、阿里雲等頭部廠商也紛紛進軍零信任市場，零信任產品開始湧現。

面對蜂擁而至的入局者，企業應該如何找到適合自己的路徑？

首先，企業決策層應該結合當前的安全能力和未來的需求，明確想要透過零信任來具體解決什麼問題，達成怎樣的目標。建立零信任體系絕非一朝一夕就能夠完成，而是一項長期工程。這個過程需要企業決策層的深度參與，安全廠商扮演的僅僅是協助和支撐的角色。

其次，零信任解決方案都是靠軟體來實現的，和使用者的業務密切相關，所以技術指標、技術能力是一個非常重要的判斷標準。零信任對一些技術能力不太強的團隊或者比較小型的公司而言，可能不是一個優先考慮的選擇，因為相關技術還不夠完善。

最後，需要加強市場教育。零信任概念雖然提出已久，但在國內仍處於初步萌芽階段。企業要積極推動全新的網路安全技術和安全理念的變革，讓技術人員充分理解零信任的優勢，才能更好地將零信任理念與傳統身份管理與訪問控制等技術融合。