從“邊界信任”到“零信任”，安全訪問的“決勝局”正提前上演

“數字宇宙造成的傷害，將變成物理傷害。”——“愛因斯坦-羅森橋”蟲洞

對大多數人來說，對數字化變革的切身體驗從未像2020年新冠疫情爆發以來這般強烈。這一年，各類“無接觸”新業態爭相冒頭，企業競相入局。

然而，不可否認是，滿載機遇的2020暗合著更多不確定性疊加的挑戰。當網路安全事件足以導致數字資產和大規模服務停擺，甚至危及大眾人身安全之時，新冠疫情大流行之下，網路安全賽道的異常熱鬧似乎在意料之中。企業強抓機遇展開安全排兵佈陣之際，那些精準瞄準業務場景痛點且具有高融通性的優質理念和技術也迎來健壯發展。零信任正是其中之一。

謹慎而理性的資本向來對市場趨勢有著極強的敏銳度。聖誕節前三天，以零信任安全為主打的科技公司Zscaler以206.78美元/股的價格在美股市場收盤，較之年初漲幅已達344.69%。而中國採招網資料則顯示，近年來已出現了70個含有零信任關鍵詞的招投標專案。

很顯然，在經歷十年起落後，零信任這一看上去既熟悉又陌生的理念架構，正以“永不信任、持續驗證”的核心，迎來健壯的“紮根”生長之勢，將在與“邊界信任”的新一輪“決勝局”中，成為網路安全界未來三年內可預見的新增長極。

01

從“邊界信任”失效到“零信任”上場

自1995年首次推出開始，世界最大IT研究與顧問諮詢公司Gartner釋出的技術成熟度曲線（Hype Cycle）已是各產業界預測各類新科技的成熟演變速度並作出相關決策的“智慧錦囊”和風向標。

在這一曲線中，從2010年Forrester首席分析師 John Kindervag首次以“永不信任，始終驗證”的理念，提出零信任模型（Zero Trust Model）以來，零信任安全從概念到落地實踐的路徑同樣也不例外。Google內部推行到雲安全聯盟CSA的SDP（即軟體定義邊界），再到各大廠商的紛紛入局，零信任正在跨過泡沫破裂低谷，進入穩步爬升的市場成熟期。

此外，Gartner在近日釋出的《SASE Will Improve Your Distributed Security Everywhere》報告中指出，聚焦基於集中化策略控制來簡化安全性的SASE新型架構將迎來巔峰發展，作為其重要支撐模組的零信任安全訪問也將借勢加快向新一輪發展紅利期邁進。

而這一趨勢的背後其實暗藏著一場企業系統訪問安全需求的持續深化變遷。數字化縱深發展的時代背景似乎讓任何事情變得不再割裂：“雲大物移”之於數字化企業已非簡單的技術應用，而更是整個網路空間環境的重塑。

當混合雲、自帶裝置BYOD、遠端協作、在家辦公WFX成為企業運作新常態，業務系統的內外界線不斷模糊化和無界化。合作伙伴和第三方供應商的加入，以及移動辦公、物聯網等場景隨疫情大流行的加速擴延，帶來更高效業務運營的同時，也造就了更為開放、複雜且具有更多不確定性的網路環境。

眾所周知，傳統安全訪問架構是以網路為中心的邊界信任架構。其在安全攻防中表現出的被動性和靜態性，使得其在資源消耗、靈活性差等方面的弊端在新網路環境下被成倍放大。

較之傳統邊界安全模型，零信任安全架構最大的特別之處就在於“沒有預設的信任，只有預設的威脅”。

在這一架構中，企業系統的任何一次訪問都是以身份為中心的單次通道，“信任”都是從零開始的，且持續處於動態評估和調整的狀態。這一主動、自動化的防禦策略是顛覆著訪問控制的正規化，引導現有安全體系逐步走向“身份中心化”，是適應當下網路環境安全需求的必然轉變。

當邊界控制元件已無法阻止攻擊者在獲得初始訪問許可權後的橫向活動，“永不信任、持續驗證”的零信任落地賽道已經準備就緒。藉助強安全驗證簡化網路內外層級信任放行的做法，零信任安全體系正以各行業紛紛入局的強大落地陣容，提前進入規模化應用的新週期。

02

“永不信任”的落地新局正加速生成

2009年12月中旬，在經歷了一場名為極光行動（Operation Aurora）的高度複雜APT攻擊後，Google開啟了重新設計員工與裝置訪問內部應用安全架構的嘗試。歷經多年的實踐與修正，對於Google員工來說，受防火牆保護的企業級應用已不復存在，在咖啡廳亦或是在家中都能與在公司辦公樓如出一轍地訪問內部應用，早已是再平常不過的日常。

而這一常態的實現其實是得益於一個名為BeyondCorp的安全新模式。該模式摒棄了將網路隔離作為防護敏感資源的主要機制。取而代之的是，將訪問控制權從邊界轉移到個人裝置與使用者上，從而使得員工無論身在何處都能安全地訪問企業資源。Google BeyondCorp也至此成為業內所稱道的零信任網路最早的落地實踐成果。

目前來看，零信任作為解決網路訪問信任問題切實可行的思路，已成為全球頭部網際網路機構及公司的共識理念。騰訊安全專家曹靜就曾在騰訊安全管理者俱樂部沙龍上提及，零信任不僅可以替換VPN，實現無邊界的辦公和運維場景；還可針對雲上業務系統的安全訪問，隱藏網際網路暴露面以阻斷駭客攻擊。

可以預見，零信任作為適應新網路空間環境的一種新理念，大有網路安全發展主流之勢。各領域對其“呼聲”的不斷攀升，也使逐漸成為各類安全主體近年來佈局實踐的重點。以騰訊為例，早在2016年，騰訊就開始在內部率先落地實踐零信任理念，並將其擴充到了騰訊雲的安全能力打造中，護航騰訊雲上客戶訪問。騰訊雲也憑藉這一完備的ZTNA（零信任安全訪問）能力獲Gartner《SASE Will Improve Your Distributed Security Everywhere》報告推薦。

從國內來看，2019年，工信部公開徵求對《關於促進網路安全產業發展的指導意見(徵求意見稿)》中，零信任安全首次被列入網路安全需要突破的關鍵技術。同年，中國資訊通訊研究院釋出的《中國網路安全產業白皮書(2019年)》中，首次將零信任安全技術和5G、雲安全等同列為我國網路安全重點細分領域技術。

而在零信任提出的十週年之際，雲安全聯盟大中華區（CSA）在2020雲安全聯盟大中華區大會上，聯合騰訊安全、奇安信、天融信等釋出的《2020中國零信任全景圖》更是對這一趨勢的最好印證。

包括騰訊、奇安信、天融信等在內的安全頭部企業已從業務場景、產品服務、部署架構等維度，形成了零信任安全的能力佈局。

以騰訊為例，利用安全評估和管控、統一身份管理和授權、零信任閘道器以及動態授權評估等元件，構建而成的騰訊零信任安全解決方案，幫助數字化轉型企業應對使用者接入面臨的安全挑戰，保護企業內的業務和資料的訪問，確保使用者身份安全。在此體系下，無論是遠端辦公、遠端運維、全球業務加速還是多雲接入的場景都可以獲得快捷安全的接入體驗。

也正是依託這一解決方案的能力，騰訊iOA才得以成功保障了7萬員工和10萬臺終端在疫情期間的跨境、跨城遠端辦公安全。並幫助涵蓋猿輔導在內的線上教育、金融、醫療、政務等多領域客戶抵禦住了遠端辦公安全防護的風險壓力。

簡言之，紮根於“無邊界”網路環境，零信任完全具備加速落地的生長“土壤”。當新時代的安全治理已非靠被動的“修建堤壩抵禦洪水”就能實現之時，零信任在訪問安全新生態重構中表現出的價值優勢，為其生成了一個加速落地的發展新局面。

03

新局之下，企業如何走向零信任實踐深處？

事實上，無論是國內權威部門還是國際權威機構釋出的政策或報告，都在肯定同一趨勢：零信任安全的落地實踐有著光明的前景與規模巨大的市場。然而，形勢大好之下尚有一個不可否認的事實：就國內而言，零信任的應用之路尚處於匯入期。

正如天融信科技集團解決方案中心副總經理謝琴曾指出，雖然企業CISO和廠商都對零信任寄予厚望，但因其搭建涉及到對企業現有網路體系進行大幅改造等因素的影響，加之千變萬化的業務場景需求，決定了零信任的大規模落地實踐無法在短期內一蹴而就。

如何破解建設瓶頸，深入零信任安全實踐，以抓住這一廣闊革新機遇，成為擺在數字化企業面前的共同之問。

零信任作為一種理念而非技術，幾乎可以應用到所有涉及身份認證、行為分析、區域隔離、資料訪問等的安全產品和架構體系。其落地實踐首當其衝應當解決實現技術路徑的問題。目前來看，由美國國家標準委員會NIST於2019年對外公佈的“SIM”（SDP、IAM和MSG），已成為行業公認的實現零信任的三大技術路徑。

“條條大路通羅馬”，企業要做的就是結合自身傳統安全體系、身份、賬號、許可權控制以及審計管理的現狀，找到最適合自身業務系統的最優路徑。

雖然在網路系統構建之初將零信任作為系統的原生“基因”是行業普遍認為最理想的構建之法，但零信任網路安全框架的搭建並沒有唯一方法和標準。零信任安全實踐並不意味著“推翻”，而是基於身份細顆粒度訪問控制體系的整合疊加。

然而，這一“整合疊加”並非簡單的“補丁”模式，甚至可能觸及企業原有網路安全體系的根基，大量人力和成本投入真實可見。因此，企業領導人的支援在此過程中就顯得尤為關鍵。對企業現有網路安全需求進行全盤分析，既是明晰零信任構建之路、制定策略的關鍵，也是能夠成功說服領導人的有效之法。

當然，企業員工作為零信任安全框架的具體實施者，其能否實現思維方式的更新也是零信任安全體系能夠發揮應有效能所不容忽視的因素。因此，圍繞零信任安全資深專家的專業培訓和教育成為企業零信任落地實踐中不可或缺的重要部分，也是保持企業零信任安全架構以長期最佳化機制保有動態化、靈活化特徵優勢的關鍵所在。

當前，大量傳統企業為配合數字化轉型而進行的網路系統升級，給零信任安全體系的規模化應用帶來了大好契機。但正如騰訊安全反病毒實驗室負責人馬勁松所言，在目前零信任產業市場呈現碎片化、生態分散化的大趨勢下，零信任的發展亟需行業生態來規範引導。只有聯合更多行業生態形成合力，攜手生態夥伴在相應的場景、環節建立相應的安全體系，用實際行動勾勒出零信任這頭“大象”的清晰輪廓，真正實現網路安全體系的轉變。

而在此過程中，安全企業作為零信任安全方案和產品的提供者，其推動之力顯然是零信任安全落地實踐的重要引擎。只有透過安全企業不斷深化對技術路徑和方案的探索研究，才能讓更多的企業更為精準地找到最適合自身業務場景的“零信任秘方”，讓零信任不止於“理想願景”，而是實實在在的新安全之法。有理由相信，諸如騰訊主導“服務訪問過程持續保護參考框架”國際標準立項、聯合多家機構企業成立國內第一個“零信任產業標準工作組”等的生態共融實踐，將推動企業走向零信任安全應用落地的深處。

進入2021，企業因數百上千萬資料暴露帶來的實質性損失並不會消失。從“零”開始的新網路安全體系對數字時代安全的價值已不置可否。一定程度上甚至可以說，產業網際網路能否安全前行，或許還要看企業在零信任安全方面的實踐探索能有多深。