近年来，中央地方高度重视新型基础设施建设，作为新基建三大领域之一的信息基础设施，成为数字经济的关键乃至整个经济社会的神经枢纽，其安全性、敏捷性、稳定性等将对新基建安全发展产生至关重要的影响。

随着新一代信息技术地快速发展，新技术态势下的网络安全威胁和风险不断涌现、扩散，移动互联网、物联网、工业互联网、车联网等新型应用场景使物理网络安全边界逐步瓦解，用户、设备、业务、平台等多样化趋势不可阻挡，新场景叠加的安全风险不容忽视。为了应对逐渐复杂的网络环境，一种新的网络安全技术架构--零信任逐步走入公众视野，其创新性的安全思维契合数字基建新技术的特点，着力提升信息化系统和网络的整体安全性，受到了广泛关注，并被寄予厚望。

2010年Forrester的分析师约翰·金德维格正式提出了“零信任”一词，在此后的多年内，随着业界对零信任理念和实践的不断完善，零信任从原型概念向主流网络安全技术架构逐步演进，从最初网络层微分段的范畴开始，逐步演变成位覆盖云环境、大数据中心、微服务等众多场景的新一代安全架构。

零信任的核心思想是：默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何视图接入网络和访问网络资源的人、事、物进行验证。

基于对零信任安全框架的理解，零信任架构的原则归纳如下：

1. 将身份作为访问控制的基础

2. 最小权限原则

3. 实时计算访问控制策略

4. 资源受控安全访问

5. 基于多源数据进行信任等级持续评估

1. 现代身份与访问管理技术

现代身份与访问管理技术主要包括身份鉴别、授权、管理、分析和审计等，是支撑企业业务和数据安全的重要基础设施。

采用现代身份与访问管理技术构建的智能身份管理平台，具有敏捷和灵活的特点，适配各种新技术应用场景。零信任具备高级分析能力，能够应对外部攻击、内部威胁、身份欺诈等各种安全威胁，并通过采用动态策略，实现持续自我完善，不断调整以满足新的业务，技术和安全性要求

2. 软件定义边界技术（SDP）

SDP技术旨在通过软件的方式，在“移动+云”的时代背景下，为企业构建起虚拟边界，利用基于身份的访问控制以及完备的权限认证机制，为企业应用和服务提供隐身保护，使网络黑客因看不到目标而无法对企业的资源发动攻击，从而有效保护企业的数据安全。

SDP的五大特点：

01、网络隐身：

SDP应用服务器没有对外暴露的地址或端口，必须通过授权的SDP客户端使用专用的协议才能进行连接，攻击者无法获取目标。

02、预验证：

用户和终端在连接服务器前必须提前进行验证，确保用户和设备的合法性。

03、预授权：

根据用户不同的职能以及工作需求，依据最小权限原则，SDP在设备接入前对该用户授予完成工作任务所需的应用和最小访问行为权限。

04、应用级的访问准入：

用户只有应用层的访问权限，理论上无法获取服务器的配置、网络拓扑等其他信息，无法进行网络级访问。

05、扩展性：

除采用特殊协议对接SDP服务器以外，其他访问依然基于标准的网络协议，可以方便的与其它安全系统集成。

3. 微隔离技术

传统防护模式通常采用防火墙作为南北向流量的安全防护手段，一旦攻击者突破防护边界，缺少有效的安全控制手段用来阻止东西向流量之间的随意访问。随着东西向流量占比越来越大，微隔离技术应运而生，其作为一种网络安全技术，重点用户阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。

从广义上讲，微隔离就是一种更细粒度的网络隔离技术，使用策略驱动的防火墙技术或者网络加密技术来隔离数据中心、公共云IaaS和容器，在逻辑上将数据中心划分为不同的安全段，每个段包含混合场景中的不同工作负载、应用和进程，可以为每个段定义安全控制和所提供的服务。此外，数据中心往往包括海量的节点，频繁变化带来的工作量不可预估，传统的人工配置模式已无法满足管理的需求，自动适应业务变化的策略计算引擎是微隔离成功的关键。

面对不同的应用环境、业务场景，零信任架构有多种灵活的实现方式和部署模式。零信任具体的应用场景有：

远程办公已经逐步成为一种常态化办公的模式，这也是移动办公延展后的必然结果。远程办公已经成为走出固定地点，随时随地的办公形态，在我国，远程办公也将逐步作为未来工作模式之一，而不仅仅是特殊时期的一种办公形式。

现有企业的信息化建设环境中，远程办公必须涵盖的应用场景越来越复杂：

1. 接入人员和设备的多样性增加

2. 企业资源暴露程度大幅度增加

3. 数据泄露和滥用风险大幅增加

零信任安全架构针对远程办公应用场景，不再采用持续强化边界的思维，不区分内外网，针对核心业务和数据资产，梳理访问这些资产的各种访问路径和场景，在人员、设备和业务之间构建一张虚拟的、基于身份的逻辑边界，针对各种场景构建一体化的零信任动态访问控制体系。主要包括以下创新点和先进性：

01、构建更安全的远程办公网络

02、增强对企业应用和数据的保护

03、大面积减少攻击暴漏面

04、减少违规行为的影响

05、缩减安全管理成本和潜在建设成本

数字经济时代，数据是推动经济社会发展的必要生产要素，作为数据集中承载的中心，其重要性日益凸显。未来，随着社会对于数据数理能力的需求急剧增长，经济社会与人们日常生活将越来越依赖于大数据中心安全、稳定的运行。

大数据中心在实现数据的集中存储于融合的同时，也将集中更多的风险，从而使其更容易成为攻击的目标。大数据中心面临以下几点安全挑战：

01、针对高价值数据边界的猛烈攻击

02、内部员工对数据的恶意窃取

零信任架构通过微隔离技术，实现环境隔离、域间隔离、端到端的隔离，根据环境变化自动调整策略，具有以下先进性和创新性：

01、精细化隔离的网络安全策略

02、以身份为基石的逻辑边界

03、安全策略自适应调整

云计算技术在快速发展带来了云平台的大量部署、应用和数据的大量迁移，在庞大复杂的云环境下，如何保证云系统资源安全，保证云服务提供商为云消费者提供安全诚信的服务，同时阻止非法用户对云资源的访问，成为云安全急需解决的问题。云平台面临以下安全问题的挑战：

01、云管理服务的安全性要求

02、共享技术漏洞带来的威胁

03、云平台开源代码自身风险

随着越来越多的公有云上服务组件被使用，SaaS安全也变得越来越重要，其中，用户最关注服务的身份认证，访问控制以及数据保护。在云计算中实施零信任访问控制，采用适配云计算平台、工作负载的技术，确保只有经过动态授权的工作负载才能运行、交互或进行数据访问。具有以下的先进性和创新性：

01、实施细粒度的访问控制

02、面向微服务的隔离机制

03、“先认证后连接”的微服务

连接物联网的终端普遍存在自我保护能力弱，极易遭受攻击者恶意破坏的特点，在物联网发展如火如荼的同时，网络安全问题也逐步暴露出来。研究显示，利用木马、僵尸等手段针对物联网发动攻击的技术已经非常成熟，数以万亿感染的物联网终端，将会给智能家居、智能制造、智慧城市、工业互联网等物联网应用场景带来极大的风险。物联网面临以下安全问题的挑战：

01、泛终端自身的安全短板

02、多样化终端接入管理困难

03、物联终端攻击易于成功

在Gartner行业报告《市场报告：通信服务提供商应对5G安全挑战的策略》中，把纵深防御、持续性和自适应以及零信任安全列为5G安全战略的三大支柱。可以预见，零信任作为解决5G安全的战略思维，未来将开展实践探索。

结合5G应用架构和零信任体系架构方法，可以很有针对性地采取5G风险消减的办法：

01、建立5G统一的身份管理机制；

02、实现细粒度用户访问控制；

03、访问控制策略自动化配置。

零信任作为新型网络安全理念，将资源保护作为核心，融合身份认证、权限认证、实时评估等多种技术，实现细粒度、精准化、自适应的访问控制，有效防止远程接入、大数据中心、云计算平台、物联网、5G等场景下的内外部安全威胁，引起了产业内外高度关注。

虽然零信任近年来被大力推崇，但零信任理念仍然在技术实现、大众认知、应用推广等方面存在诸多挑战。因此，要实现零信任架构，仍需要从各方面付出诸多的努力：

1. 国家层面，加强政策技术指引

2. 技术层面，着力解决技术瓶颈

3. 产业层面，深入开展协作实践

4. 企业层面，有序推动升级部署

虽然零信任发展的路上仍旧困难重重，但是国内安全厂商，一直以来都关注着零信任在国际上的发展并结合国内实际场景进行落地实践。奇安信、腾讯、阿里、华为、深信服、启明等安全和互联网厂商都利用各自在安全领域的技术优势，推出了零信任整体解决方案，并积极寻找机会，开展全面应用实践；竹云、九州云腾等身份管理厂商积极推动身份管理技术在零信任架构上的应用；云深互联、蔷薇灵动、山石科技等厂商则积极推动SDP、微隔离等零信任技术方案的应用实践。2019年以来，我国相关部位、本部分央企、大型集团企业开始将零信任架构作为新建IT基础设施安全架构；银行、能源、通信等众多领域和行业针对新型业务场景，开展采用零信任架构的关键技术研究和试点示范。

2020年恰逢“十三五”收官，“十四五”降至，5G、数据中心、物联网、工业互联网、人工智能等新型基础设施的建设大潮火热开启，硬核的新基建要求有相配套的网络安全基础设施以及网络安全保障体系，零信任等新兴网络安全技术面临广阔前景，期待其成为欸网络安全保障体系升级的中流砥柱。

                                                                              来源：中国信息通信研究院、

                                                                                     奇安信科技集团股份有限公司

识别二维码免费领取

零信任相关解决方案

-The End-

签约喜讯

零信任落地案例 | 云深互联成功签约某银行客户

零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户

零信任落地案例 | 云深互联成功签约某新能源开发企业客户

零信任落地案例 | 云深互联成功签约某集团控股药房客户

解决方案

① 场景解决方案

远程办公 | 为什么零信任是远程办公的未来趋势？

数字化转型 | 为什么企业数字化转型需要零信任?

分支结构远程办公 | 为什么分支机构远程办公需要零信任？

② 行业解决方案

金融行业 | 为什么金融行业需要零信任安全的解决方案?

运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？

医疗行业 | 数字化时代，零信任如何解决医疗行业的网络安全隐患？

云深漫说

【云深漫说】零信任解决了远程办公的哪些“坑”？

【云深漫说】兵临城下之攻防演练的防御之道

技术分析

一文了解零信任架构的3大核心技术

浅谈零信任的6大商业和安全益处