零信任是由Forrester Research的分析師John Kindervag在2009開發，並在2010年正式提出的。在過去的10年間，隨著雲計算、移動互聯等技術發展以及全球範圍內部威脅的不斷湧現，零信任越來越為產業界所接受。

Google從2011年開始探索和實踐零信任，並在2014年發表了BeyondCorp系列研究論文，成為零信任大規模實施的典範。

Gartner在2017年釋出的其自適應安全3.0的版本CARTA框架，持續自適應的風險與信任評估的思想與零信任內涵和邏輯高度一致，進一步推進了產業界對零信任投入和研究。

NIST在2019和2020也連續發表了SP800-207零信任架構草案第一和第二版本，探討零信任體系結構（ZTA）網路策略的核心邏輯元件。

從2018開始，Forrester 開始釋出零信任擴充套件生態系統ZTX研究報告，探索零信任架構在企業中的應用，系統性對零信任廠商的能力進行評估。

Forrester對廠商的評估包括多個維度的一系列的指標，例如收入，廠商的零信任的戰略和對零信任的宣傳，以及API整合能力等。本文主要關注的是Forrester在零信任評估中所涉及的7個主要技術維度，即

· 網路安全· 裝置安全· 人員/身份安全· 工作負載/應用安全· 資料安全· 可見性和分析· 自動化和編排

本文基於2019年第四季度Forrester Wave™報告中的評估資料做一個簡單分析。在報告中，7個技術維度，每個都分別打分，有不同的權重，每項得分有了1、3、5三個不同的值，其中1分最低，5分是最高分，本文將從這7個技術維度逐一展開說明。

一、網路安全

網路安全能力是零信任最初關注的核心能力，在ZTX模型中，主要關注的是如何實現網路隔離和分段，以及最終安全性的原理是什麼。在這個維度中，得到最高分5分的廠商最多，達到了7家，這也與零信任最初的切入點吻合。這7家分別是Check Point、Cisco、Palo Alto Networks、Symantec、Forcepoint、Okta、Cyxtera Technologies。簡單來說，零信任的網路安全能力可以理解為是支援微分段和微邊界的NGFW產品定義的能力，產品形態可以是硬體形態也可以是虛擬化裝置或其它可以提供同等能力的軟體形態。

零信任網路安全的關鍵架構元件包括網路分段閘道器，微核心和微邊界。網路分段閘道器作為網路的核心，集成了各個獨立安全裝置的功能和特點，從防火牆、IPS、WAF、NAC、VPN等。它支援高速多個10GB介面，可以高效能的檢查所有流量。透過微核心和微邊界，連線到“網路分段閘道器”的每個介面都有自己的交換區。每個交換區都有一個微核心和microperiodier（MCAP），具有相同的安全信任級別。這實際上將網路劃分為並行、安全的網段，這些網段可以都單獨擴充套件，以滿足特定的法律合規性要求或管理需求。下面以幾個典型產品為例簡單說明。

Check Point的零信任閘道器可以在整個IT基礎架構以及私有/公共雲和公司網路環境中對網路進行微分段，它可以全面控制所有東西向流量，可以準確地檢查和阻止網段之間的未授權流量，同時僅允許絕對最小的合法流量。

Palo Alto的零信任閘道器主要是其下一代防火牆，它是單通道軟體架構來實現這一目標，具有獨立的控制和資料平面，加上特定功能的並行處理硬體引擎來處理流量。

二、裝置安全

零信任安全架構中的裝置安全的能力需要持續監控網路上的所有裝置。除了“看到”傳統伺服器、PC、膝上型電腦和智慧手機之外，還包括在連線到網路的物聯網和IOT裝置、外設、網路基礎設施元件和惡意的裝置，虛擬機器、工作負載等軟裝置形態。根據預先收集的有關裝置型別裝置允許、拒絕或限制對內部網路資源的訪問，從而強制讓裝置的行為符合執行預期。同時還可以根據已建立的策略發出通知並啟動裝置修復。連線後，平臺持續監視裝置，以確保裝置行為不會偏離策略。關鍵點在於對裝置的持續發現和安全性檢查的能力，這一點有別於傳統的NAC裝置一次檢查永久信任的模式。

裝置安全相對比較容易理解，Forrester Wave™評分中得到5分有4家企業，分別是Forescout、Cisco、Proofpoint、MobileIron。下面以Forescout為例簡單說明。

Forescout是傳統NAC的標誌性廠商，它透過對SecurityMatters的收購，將裝置安全的能力擴充套件到了IOT環境中。它的零信任裝置安全實踐很有代表意義。它可以全面瞭解企業內所有的IP連線裝置，包括資料中心、雲和IOT裝置，並對裝置安全性和配置狀態的深入檢查，以確定裝置的風險態勢。Forescout策略引擎根據裝置的風險態勢，將企業的安全策略和分段策略轉換為單個實施產品應用的規則。

三、人員/身份安全

人員/身份安全是關注於使用網路和業務基礎架構的人員的安全，減少這些合法使用者身份所帶來和造成的威脅。攻擊者獲取敏感資料的最簡單方法之一就是憑證盜用。一旦進入目標網路，攻擊者一般都會擴大攻擊範圍，並在網路中橫向移動，尋找特權帳戶和憑據，幫助他們訪問組織最關鍵的基礎設施和敏感資料。人員安全主要是身份和訪問管理（IAM），大多數應用程式和服務互動都與角色和許可權（使用者、組和服務帳戶）有某種關聯，因此零信任策略物件的重要主體是身份和賬號。

這應該是零信任中最容易被理解的一個維度了，在Forrester Wave™評分中得到5分有6家，分別是Akamai、Cisco、Google、Proofpoint、Okta、MobileIron。下面以Okta為例簡單說明：

Okta的身份認證邏輯分為三個階段：

1、實現統一身份訪問管理。對訪問管理系統下進行整合，透過單點登入（SSO）完成的第一階段整合。

2、實現上下文訪問管理。透過收集關於使用者上下文資訊（即他們是誰？他們是一個有風險的使用者群嗎？），應用程式上下文（即使用者試圖訪問的應用程式）、裝置上下文、位置和網路等資訊進行綜合判斷，對於可能存在風險使用者配合多因子身份認證進行二次驗證。

3、自適應的身份鑑別。這是與傳統上身份驗證區別最大的地方，不再是一次驗證透過就獲得這次會話的完全信任，而是透過自適應的、基於風險的評估來識別潛在威脅，在使用者體驗的整個過程中持續進行。這是第2階段的上下文響應中添加了一個智慧的、基於風險的引擎，並允許基於這些上下文訊號的風險評分來確定特定身份驗證事件的風險，並基於這種判斷提示進行附加的身份驗證。這裡的關鍵是要避免因為誤報而導致對使用者正常操作的干擾。

四、工作負載/應用安全

過去10多年伴隨著雲計算的蓬勃發展，工作負載安全的重要性日趨凸顯，無論是私有云還是公共雲中的工作負載，例如應用程式、虛擬機器、容器、Serverless等都容易受到攻擊。要實現基於零信任的工作負載安全，首先要弄清楚組織內部的工作負載資產情況，構建工作負載、安全組、例項和防火牆的實時拓撲，透過自適應訪問策略，根據工作負載的任何變化自動調整，這些策略是強制執行，可以自動發現並糾正錯誤的工作負載系統配置，同時，可以透過呼叫IPS、惡意軟體檢測等安全引擎實現威脅防護。

應用和工作負載的零信任，在Forrester Wave™評分中得到5分有3家，分別是Akamai、Google、Cyxtera 。他們都是SDP的實踐者，下面以Akamai為例簡單說明。

Akamai是CDN的發明者和服務提供商，它原有的24萬臺伺服器的代理平臺也是它轉型到以SDP提供零信任服務的重要因素。Akamai的IAP模型與Google的Beyond Corp模式相似。它透過企業應用程式訪問（EAA）雲產品提供工作負載保護的服務。

EAA允許企業透過Internet（無論是託管在雲中還是在資料中心中）提供對私有應用程式的訪問，並執行最小特權和零信任的原則。只有經過身份驗證的使用者和裝置才能訪問他們有權訪問的內部應用程式，並且不需要開啟或維護入站防火牆埠。EAA將資料路徑保護，單點登入，身份訪問，應用程式安全以及管理可見性和控制功能整合到由Akamai智慧平臺支援的基於雲的單個服務中。它最終可以保護私有企業應用程式，從而最大程度地減少了攻擊面並使企業基礎結構和資料對公眾不可見。 它是基於雲的服務，並從一個單一視窗訪問基於Web的應用程式，框架內也可以與傳統的安全服務整合，例如高階威脅防護，Web應用程式防火牆等。

五、資料安全

零信任架構的核心是迴歸本源，聚焦於保護資料的安全，構建以資料為中心的安全。從資料安全著手建立零信任體系相對容易落地，也更容易以最好的ROI產生效果。無論資料處於在終端、應用伺服器、資料庫、SaaS應用程式之中，無論在組織網路內部或外部，無論資料是處於流動狀態還是使用狀態，都需要透過一定的技術手段，防止資料的洩露。Forrester Wave™在評估時主要關注如何實現資料的分類，隔離，加密和控制等安全措施。

雖然零信任架構的實踐目前以網路微隔離、增強IAM（IDAAS等）、SDP這些形式為主，但本質上這些零信任的實踐還是圍繞是以實現資料安全為核心。在Forrester Wave™7個技術維度的權重中，資料安全權重17%也是最高的（網路安全權重12%，身份安全權重15%）。但是在資料安全這個維度中拿到最高分5分的企業卻只有一家，遠小於網路安全等其它維度，這是一個很有意思的現象。

零信任資料安全的保護應用於資料本身，與資料的位置無關。為了有效，敏感資訊應在進入組織的IT生態系統後立即被自動標識出來，並應透過在整個資料生命週期中持續的保護。

典型實現包括安裝在每個終端上的部署代理，在雲和網路上部署探針裝置，這些代理和探針由一個集中管理控制檯控制，管理員在該控制檯中為每個終端代理、每個使用者、每個探針定義資料型別和採用適當的保護形式。作為以資料為中心的網路設計，該設計本質是在特定資料或資產周圍放置了微邊界，以便可以執行更細粒度的規則。這個一般分為4個步驟：

1、識別敏感資料：這看似簡單，但要落地，遠比想象的更具挑戰性。保護看不見的資料是不可能的。識別資料後，有必要使資料分類有用，而簡化是關鍵。

2、對映敏感資料的資料流：瞭解資料如何在網路內、跨網路以及在使用者和資源之間流動。這裡的資料既包括結構化半結構化資料，也包括非結構化的文件資料，資料流的形成是一個必要而艱難的過程。

3、建立自動化規則庫：確定訪問控制的規則，形成資料安全策略。要定義這些規則，必須瞭解哪些使用者、應用和資料之間的關係。

4、持續監控持續調整：透過持續監控，並根據使用者的行為和風險，自適應的調整使用者的安全策略，採用不同的響應手段。

常見資料安全防護的技術包括文件加密、資料庫加密、磁碟加密、資料脫敏、DLP(資料防洩漏)、資料庫審計、虛擬沙箱、UEBA、CASB等。與SDP、IDAAS、微隔離等相比，這些看似不是新的名詞和定義，理論上應該有更好的表現，但Forrester Wave™選的14家廠商中只有ForcePoint拿到了最高分5分，資料安全整體得分是7個技術維度中最低的，甚至長期在GartnerDLP魔力象限領導者的Symantec也只被評估為3分。

為什麼會出現這種情況？這是一個很有意思的話題，Forrester評價Symantec產品組合中唯一真正的缺陷是其傳統的DLP方法。客戶“並未真正按預期使用DLP”。但是，實際上，對於當今行業中的大多數DLP工具來說，這很常見。傳統DLP的問題本文就不展開討論了。不過，筆者一直認為，資料安全相對而言是零信任理念和架構最容易落地的一個維度，一個好的資料安全方案和產品可以基本不改變使用者原有的網路架構，不改造使用者原有的應用系統，不影響使用者原有的使用習慣，以輕量級代理的模式介入到使用者環境中，達到一個性價比相對價高的零信任安全結果。因為Forrester Wave™在資料安全維度下只有ForcePoint得到最高的5分，下面以ForcePoint為例簡單說明。

Forcepoint的解決方案是圍繞DLP和CASB構建資料安全平臺，同時關注使用者在終端上的行為監控和實體行為分析。Forcepoint將資料分為兩大類，一類是個人資訊類資料，另一類是智慧財產權類資料。對個人資訊類資料，它整合各種合規檢查和報告，可以幫助使用者實現資料隱私法規的合規，例如GDPR、CCPA、PCI DSS等。對於智慧財產權類資料透過機器學習、指紋等方式定義和識別資料，制定資料訪問規則，並持續監控、分析和調整。Forcepoint將看似無關的資料安全事件進行關聯分析，透過事件風險排序（IRR）將不同的指標融合到機器學習模型中，以評估資料風險發生的可能性。它透過一個儀表板為管理員提供了整個企業（包括端點，網路和雲應用程式）受保護資料的統一檢視。

六、可見性和分析

這一個維度相對來說入圍的各個廠商都做了不少工作，因為沒有對安全的可見性和分析，產品的價值是無法體現出來的。看不見或看不懂的東西是無法被保護的，Forrester在這個維度主要關注技術或解決方案是否提供有用的分析和資料支撐，並儘量消除系統和基礎架構中存在的死角。這在不同的關注維度下有不同的支撐場景和實現，需要在對需求，客戶、業務和技術多維度的綜合認知指引下，定義出產品自身的分析和視覺化邏輯，本文就不展開分析了。

在Forrester Wave™評分中得到5分有7家企業，分別是Check Point、Cisco、Palo Alto Networks、Forcepoint、Forescout、Unisys、Illumio。下面以Illumio為例簡單說明。

Illumio的自適應安全平臺提供實時的應用程式依賴關係對映和安全分段，以阻止資料中心和雲環境內部的橫向移動。這對對跨異構計算環境的工作負載之間的連通性的可見性有較高的要求，它提供了異構環境中工作負載的實時顯示，自動的發現和分類和全面的視覺化稽核。Illumio的核心能力是在整個基礎架構中提供定義明確且清晰可見的資產圖。

七、自動化和編排

零信任安全體系結構要發揮最大的價值，需要與更廣泛的IT環境整合，可以改進的事件響應的速度，提高策略的準確性和並自動分配任務等。Forrester在這個維度主要關注技術或解決方案如何實現基於零信任原則的自動化和編排，並使企業能夠對不同的系統進行更強大的控制。它認為如果工具具有輔助自動化和編排的技術能力，並且還可以進行細分，還不足以成為平臺。但是，如果工具或技術支援微隔離和加密，集成了自動化和編排功能，並且具有完善的API，開發人員可以透過該API內建其他零信任功能，則可以將其視為平臺。

透過自動化和編排，可以將重複和繁瑣的安全任務轉換為自動執行、計劃執行或事件驅動的自定義工作流。可以動態地將安全策略中的物件與外部資料關聯（如AD等IAM身份管理系統），以釋放大量的工作人員時間，並減少由於人為錯誤而出錯的機會。可以透過使用演算法和經驗值來自動識別安全事件，並更改訪問策略規則進行響應，響應的方式也可以透過編排自動對接第三方工具和產品。同時也可以與第三方SIEM產品深度整合，提供更完整準確的分析。

在Forrester Wave™評分中得到5分有4家企業，分別是Okta、Palo Alto Networks、Proofpoint、Illumio。下面以Palo Alto Networks為例簡單說明。

Palo Alto Networks這一塊的功能主要是透過對Demisto的收購實現的。透過為SOC分析人員提供單一平臺來管理事件，自動化和標準化事件響應流程以及在事件調查方面進行協作，來最佳化安全操作的效率。它利用機器學習（ML）來支援諸如事件分類等功能，或為SOC分析人員提供下一步建議。同時為分析人員提供了一個作戰室，以便他們協作調查事件，並自動記錄事件發生後的報告。Palo Alto Networks提供強大的事件/案例管理和劇本自動化功能，以及300多種現成的產品整合。

這7個維度是John Kindervag的繼任者，現在Forrester 首席分析師Chase Cunningham在其零信任擴充套件框架中提煉出的7個支撐維度。在使用者視角看，目前實現全面的零信任的改造存在複雜性和風險。但從不同使用者具體的IT基礎設施的實際出發，從最關切的風險出發，可以逐步落實零信任的原則和理念。

本質上，包括零信任在內的一切新的概念和總結，出發點都是為了解決網路安全和資訊保安的本源問題，即應用和系統的可用性問題，資料的機密性問題。圍繞可用性、機密性和完整性的原則，不斷迭代新的理念和技術，為使用者的業務提供更好的支撐和保障，這些零信任產品的發展也是各個廠商在某相對擅長的領域，為了更好的解決客戶問題的自然演進。

所以零信任的7個維度劃分也不是鐵律，我們可以分解來看，一定程度上就是更細的網路邊界，應用切分，資料定義，使用者身份的多次驗證，更細的強制訪問控制，在永不信任，持續驗證的理念下，如何在不影響使用者體驗的情況下，提供更好的安全保障和服務。