回顧2020年，若要挑選2020年 安全行業熱詞，相信“零信任安全”一定是首選之一。

　　鋪天蓋地的零信任信息充斥著我們的網絡和生活，國內各大安全廠商也都摩拳擦掌加入了“零信任安全”這一領域，紛紛推出了“零信任安全產品及解決方案”。“零信任安全”一炮而紅，成為網絡安全的“新生力量”，在2019年RSA大會上，零信任廠商還僅有39家，而在2020年RSA大會上竟然多達91家，僅僅一年時間，零信任行業的發展速度就增加了133%。可謂是發展快如閃電。

　　與此同時，零信任市場也特別活躍。OKTA一家做IAM的零信任廠商從估值10億美金，3年翻了近30倍，目前市值達到298億美金。另一做SDP的零信任廠商，Zscaler從估值20億美金，2年翻了近10倍，目前市值突破190億美金。

　　無論是從市場規模，還是市場需求角度，都把零信任安全推向了風口浪尖，一夜之間“零信任”成了新的安全架構的代名詞，那到底什么是零信任？零信任是怎么出現的？零信任能給我們的網絡安全帶來什么？如果你也有這些疑問，那么下面就有小編帶你一起來分析一下吧。

　　首先我們先說一下零信任是怎么出現的？

　　1. 零信任的起源

　　隨著信息技術的快速發展，云計算、大數據、物聯網、移動互聯、人工智能等新興技術的發展，為我們信息化及現代化建設帶來了新的生產力，但同時也給信息安全帶來了新挑戰。

　　一方面，云計算、移動互聯導致的企業邊界瓦解，難以繼續基于邊界構筑企業的安全防線；另一方面，外部攻擊和內部威脅愈演愈烈，以APT攻擊為代表的高級持續攻擊仍然能找到各種漏洞突破企業的邊界，同時，內部業務的非授權訪問、雇員犯錯、有意的數據竊取等內部威脅層出不窮；另外，國家和行業層面對企業安全的監管力度逐步加強，也對企業安全提出了更高的要求。只有充分的認識到這些新IT時代的安全挑戰，才能更好地進行應對。

　　目前企業遇到的問題主要歸結為以下四類：

　　1.網絡邊界模糊

　　傳統的安全架構基于邊界思維，假定企業存在一個“內網”，存在一個邊界，對內外網進行隔離，假定內網是安全的、外網是不安全的，基于如上假設，企業在邊界處部署防火墻、WAF、入侵檢測等設備進行防御，并期望借此打造企業的安全護城河。隨著移動辦公、云計算等技術的廣泛采用，企業的邊界已經模糊甚至瓦解。

　　2.外部攻擊頻繁

　　隨著大數據技術的發展，數據也趨于集中，意味著價值的集中，自然也成為攻擊者的首要攻擊目標。尤其是以APT為代表的高級持續攻擊層出不窮。大型組織甚至國家發起的大規模網絡攻擊事件中，攻擊者可以利用大量的漏洞“武器”，對重要目標進行攻擊，這類攻擊往往防不勝防，切不可掉以輕心。

　　3.內部威脅加劇

　　傳統的安全體系是建立內外網邊界上，假定內網用戶、設備、流量都是可信的，內網缺乏足夠的安全訪問控制，一旦被滲透，數據極易泄露和竊取。另外，內網非授權訪問也是造成數據泄露的一個原因。

　　4.監管力度加大

　　當前國家對數據信息安全越來越重視，安全戰略上升到國家戰略，先后出臺了《中華人民共和國網絡安全法》、《信息安全技術 網絡安全等級保護基本要求》、《國家電子政務標準化指南》等相關政策標準。為滿足國家對于企業信息數據安全建設要求，企業需要以業務需求為導向，規范建設企業數據信息安全保障體系，形成科學實用的規范化安全管理能力、體系化安全技術防護能力、綜合化安全監管運維能力，以滿足相關部門對于企業信息安全的監管要求。

　　鑒于以上原因，為了應對新IT時代的網絡安全挑戰，零信任安全營運而生！

　　我們知道零信任是怎么出現的之后，接下來，我們來聊一下，零信任的發展歷程。

　　2. 零信任發展歷程

　　零信任的概念最早源自2004年成立的耶利哥論壇，其成立的使命是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案。

　　2010年Forrester的分析師約翰·金德維格首次提出了零信任安全的概念，其核心思想是企業不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入企業系統的人/事/物進行驗證。

　　2014年，谷歌發表了6篇Beyond Corp系列論文，介紹了谷歌如何將零信進行落地的實踐。同一年，國際云安全聯盟發布了SDP標準規范1.0。

　　2017年Gartner在安全與風險管理峰會上發布CARTA模型（持續自適應風險與信任評估）并提出零信任是實現CARTA宏圖的初始步驟。

　　2018年，Forrester提出零信任架構，將能力從微隔離擴展到可視化、分析、自動編排等維度。

　　2019年，Gartner發布零信任網絡ZTNA，融合SDP安全模型，同年，NIST發布《零信任架構標準》草案。

　　直到2020年美國國家標準與技術研究院NIST發布《零信任架構標準》正式版，歷經十年發展，零信任安全理念在國外逐漸被廣泛認知，在國內也開始出現了萌芽。

　　3. 零信任的流派

　　正所謂天下大勢分久必合合久必分，零信任的概念從初次提出，到現在已經有10多年了，隨著它的發展，也分出了不少流派，其中最出名的有八個流派，當然有的地方也分成五個流派。這主要是看按照什么維度去劃分，就比如google,它自身就分為兩個流派，一個是BeyondCorp，一個是BeyondProd，就像華山派分為氣宗和劍宗一樣，隨都隸屬于華山派，但各自又有各自的不同的修煉技巧。小編主要按照零信任的功能性維度將零信任先按照八大流派來劃分。（這里只簡單的說一下流派，后續有時間，小編會專門寫一篇關于這八大流“血雨腥風”的故事）

　　流派一：Forrester 最早提出零信任一詞的咨詢機構。其中兩個代表人物約翰·金德維格；查斯·坎寧安 各提出了3個觀點。

　　流派二；google BeyondCorp，BeyondCorp是中國做零信任網絡安全機構最為熟悉的邊界安全安全模型，也是零信任在中國真正的起源。

　　流派三；Google BeyondProd，相當于BeyondCorp的升級版，解決了BeyondCorp無法處理微服務的問題。

　　流派四；微軟 Microsoft 365 零信任實踐，是基于Azure AD來實現的。

　　流派五； Gartner CARTA，Gartner的CARTA（持續自適應風險與信任評估）模型將零信任和攻擊防護相結合，形成了持續的風險和信任評估。

　　流派六；Gartner ZTNA，在其發布的《零信任網絡訪問市場指南》行業報告中，定義了零信任網絡，也稱為軟件定義邊界。

　　流派七；CSA  SDP，國際云安全聯盟于2013年成立SDP（軟件定義邊界）工作組。

　　流派八； NIST美國國家標準與技術研究院。2019年，2020年先后發布兩版《零信任架構標準》草案，直到2020年8月推出《零信任架構標準》正式版 。

　　說了這么多與零信任相關的知識，那么到底什么是零信任呢？零信任是如何定義是什么？

　　4. 零信任定義

　　其實零信任到目前為止，并未有過明確的定義，都是各大機構根據自己的理念進行的歸納總結，如果按照權威性來說，小編比較傾向于NIST的定義。NIST在最近發表的《零信任架構標準》（正式版）中指出，零信任是一種以資源保護為核心的網絡安全范式，其前提是信任從來不是隱式授予的，而是必須進行持續評估。零信任體系架構是一種端到端的企業資源和數據安全方法，包括身份（人和非人的實體）、憑證、訪問管理、操作、端點、宿主環境和互聯基礎設施。零信任（Zero trust，ZT）提供了一系列概念和思想，旨在面對被視為受損的網絡時，減少在信息系統和服務中執行準確的、權限最小的按請求訪問決策時的不確定性。零信任架構（ZTA）是一種企業網絡安全規劃，它利用零信任概念，并囊括其組件關系、工作流規劃與訪問策略。

　　雖然NIST給了相對官方的定義，但是理解起來還是有些困難，尤其是翻譯過來的譯文，更是生澀難懂，就好像文人墨客寫的東西，明明可以很清楚的直敘平鋪，但他們寫的東西就是讓人一眼看不出來。

　　其是用大白話來說，就是零信任并不是一種產品或技術，而是一種安全理念，其中心思想是企業不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入企業系統的人/事/物進行驗證。簡言之，零信任的策略就是不相信任何人。

　　除此之外在《零信任網絡：在不可信網絡中構建安全系統》一書中，作者埃文？吉爾曼和道格？巴斯將零信任的定義建立在以下5個基本假設之上。

　　網絡無時無刻不處于危險的環境中

　　網絡中自始至終存在外部或內部威脅。

　　網絡位置不足以決定網絡的可信程度。

　　所有的設備、用戶和網絡流量都應當經過認證和授權。

　　安全策略必須是動態的，并基于盡可能多的數據源計算而來

　　從以上這5個假設中，也能清楚的理解零信任核心思想就是不相信任何人/事/物。

　　5. 零信任三大技術實踐

　　NIST（美國國家標準委員會）在2019年發布的《零信任架構ZTA》白皮書中，總結出實現零信任架構的三大核心技術“SIM”，“S”，即SDP（軟件定義邊界）；“I”，即IAM（身份與訪問管理）；“M”，即MSG（微隔離）。

　　SDP:軟件定義邊界：是基于身份的訪問控制以及完備的權限認證機制。為企業應用和服務提供隱身保護，有效保護企業的數據安全。

　　IAM：增強身份管理 ：是通過圍繞身份、權限、環境、活動等關鍵數據進行管理與治理的方式。確保正確的身份、在正確的訪問環境下，基于正當的理由訪問正確的資源。

　　MSG微隔離：使用策略驅動防火墻技術或者網絡加密技術來隔離數據中心、公共云laas和容器，在邏輯上劃分不同的安全分段，用于組織攻擊者進入網絡內部后的東西向移動訪問。

　　除此以外還有一些輔助技術如密碼技術、MFA多因素認證、NAC網絡準入、下一代沙箱、用戶行為分析（UEBA）等技術，也是實現零信任理念的關鍵技術，通常都是通過IAM/SDP/MSG三大技術融合其他技術來實現零信任理念，當然這三大技術實踐可以單一實現，也可以組合實現，目前基于這三大技術實現的產品還是比較多的，比如Zscarler，就是典型的SDP架構，OKTA，就是IAM典型廠商。

　　介紹完三大技術實踐，接下來，我們來看一下零信任產品發展情況。

　　6. 零信任現狀

　　首先在國際上，零信任應用越來越廣泛，零信任產業已初具規模。美國軍方、聯邦政府和標準化組織紛紛發表各自的白皮書、評估報告和標準草案，闡述各自對零信任的認識和規劃。

　　根據Forrester在2020年二季度對于零信任產業的統計數據，按照零信任解決方案收入規模，市場的供應商可分為三類，其中零信任相關營收超過1.9億美元的廠商已超過10家。

　　除此之外，美國各機構及政府也相繼也發布了一系列的論文、白皮書及標準，進一步推動零信任行業的發展，值得注意的是，美國國防部已明確將零信任實施列為最高優先事項。無論是DIB（國防創新委員會）提出的《零信任架構（ZTA）建議》，還是2019年美國的《國防部數字現代化戰略》，均對零信任實踐十分看重。從這一點也可以反映出美國政府及軍隊對于零信任架構的深刻認知和重視。在近期舉行的“TechNet網絡研討會”上，DISA新成立的新興技術局局長SteveWallace表示，通過向零信任架構的過渡，將為國防部作戰人員帶來更多安全性、靈活性、更高效的設備使用、更快的數據訪問。Wallace預計，國防部零信任初始參考架構將在2020年末發布，然后DISA將征求業界和政府的意見和建議，然后在幾個月后發布完整的文檔。

　　與此同時，英國國家網絡安全中心發布《零信任基本原則》草案，為政企機構遷移或實施零信任網絡架構提供參考指導。

　　以上介紹的是零信任在國外的情況，下面我們來看一下國內零信任現狀。

　　國內安全界追隨零信任技術發展，積極開展關鍵技術研究和產品研制，并結合國內實際應用場景進行落地實踐，同時推進零信任標準化進程。

　　2019.9 工信部公開發布的《關于促進網絡安全產業發展的指導意見（征求意見稿）》中，將“零信任安全”列入“著力突破的網絡安全關鍵技術”。

　　2019.7 騰訊牽頭國內首個立項的零信任安全技術行業標準。《零信任安全技術-參考框架》。

　　2020.5 奇安信牽頭國內首個立項的零信任國家標準《信息安全技術零信任 參考體系架構》。

　　在零信任產業方面，目前國內零信任技術主要集中在兩種形態，一種是基于零信任整體解決方案的形態，像阿里云、奇安信、騰訊、深信服、天融信等。

　　另外一種是按照三大技術實踐來研發的產品形態。如 IAM 有竹云、九州云騰、派拉軟件等；SDP有云深互聯、數蓬科技、聯軟、易安聯等。MSG微隔離：主要有薔薇靈動等。

　　圖-零信任三大實踐企業名錄

　　接下來我們來說一下零信任的發展形勢及市場規模。

　　零信任的發展趨勢可謂是非常可預期，根據 Gartner 預測，2022 年將有 80%面向生態合作伙伴的新數字業務應用采用零信任網絡訪問。2023 年將有 60%的企業   遠程訪問 將VPN 向零信任網絡架構轉型。

　　圖-預計2023年將有60%的企業從遠程訪問VPN向零信任網絡架構轉型    資料來源：Gartner

　　美國第二大市場研究咨詢公司MarketsandMarkets 預測，2024年，全球零信任安全市場規模預計將達386億美元，國內零信任市場規模有望達到百億。

　　圖-預計2024年全球零信任安全市場規模將達386億美元  資料來源：MarketsandMarkets

　　我們這次要分享的內容就是這些，像零信任三大技術實踐，零信任8大流派，零信任應用場景、國外零信任標準規范，以及目前國內各廠商的零信任產品都沒有展開來講，其實這其中的每一項內容都可以單獨拿來分享，以后如果有時間，小編會再豐富一些內容的。