在產業數字化升級與業務上雲的趨勢下，傳統企業保護邊界逐漸被瓦解，企業被攻擊面大幅增加，零信任這一網路安全的理念受到更多的關注，國內外圍繞零信任展開大量的研究和實踐。

那麼零信任到底是什麼？它有什麼優勢？企業該如何部署零信任？騰訊安全圍繞零信任基於自身應用實踐，梳理了24個常見的問題，幫助使用者快速理解。

零信任初探

Q1：大家都在討論零信任，零信任到底是什麼？

答：本質上，零信任既不是技術也不是產品，而是一種安全理念，“持續驗證，永不信任”是其基本觀點。零信任假定網路邊界內外的任何訪問主體（人/裝置/應用），在未經過驗證前都不予信任，需要基於持續的驗證和授權建立動態訪問信任，其本質是以身份為中心進行訪問控制。零信任架構則是一種企業網路安全的規劃，它基於零信任理念，圍繞其元件關係、工作流規劃與訪問策略構建而成。

Q2：與傳統的邊界安全理念相比，零信任理念有什麼優勢？

答：零信任提供了增強安全機制，在新的架構模型下，可以區分惡意和非惡意的請求，明確人、終端、資源三者關係是否可信。相比於傳統邊界安全理念，有以下優勢：安全可信度更高，信任鏈條環環相扣，如果狀態發生改變，會更容易被發現；動態防護能力更強；支援全鏈路加密，分析能力增強、訪問集中管控、資產管理方便等。

Q3：零信任會淘汰VPN嗎？

答：實際上兩者不是一個維度的概念，不過我們通常拿來作比較。現階段零信任將和傳統VPN並存，主要受限於機構進行零信任改造、升級的速度。從長遠來看，零信任解決方案將會替代傳統VPN的全部功能和適用場景，而部分傳統VPN產品可能會根據零信任理念擴充套件升級成為零信任的核心元件，Gartner預測到2023年將有60%的VPN被零信任取代。

零信任技術解析

Q4：作為一種前沿的安全理念，零信任是透過什麼技術實現的？

答：業內普遍認為軟體定義邊界（SDP）、身份識別與訪問管理（IAM）、微隔離（MSG）是實現零信任的三大關鍵路徑，圍繞零信任的相關產品及解決方案也都基於此展開。Gartner將SDP描述為軟體定義的圍繞某個應用或某一組應用建立的基於身份和上下文的邏輯訪問邊界，具備服務隱身、控制層與資料層分離、靈活可擴充套件架構的安全系統。IAM將企業所有數字實體進行有效管理並透過唯一資源標識進行身份化處理，同時相容現有的各類身份認證協議，能夠靈活支援多因子認證和人機挑戰的編排，並能夠實現和傳統AD域控打通或者替換，最終實現以身份為中心進行該身份的全生命週期的動態信任管理，並根據信任評估結果，判斷當前身份是否可以訪問資料資產。MSG則是將資料中心的資源或服務按不同的工作負載角色在邏輯上細分為不同的安全段，並配合SDP為這些安全段定義相應的安全訪問控制策略。

Q5：作為零信任的一種實現方式，SDP具備哪些優勢？

答：SDP是在企業上雲、遠端辦公、移動辦公的大環境下設計出來的，是零信任安全理念具體落地的核心控制元件，具有以下五點優勢：1）最小化攻擊面降低安全風險；2）分離訪問控制和資料通道,保護關鍵資產和基礎架構，阻止潛在的基於網路的攻擊；3）提供了現有的安全裝置難以實現的整合安全體系結構；4）提供了基於連線的安全架構，而不是基於IP的替代方案；5）允許預先審查控制所有連線,從哪些裝置、哪些服務、哪些設施可以進行連線，安全性方面是比傳統的架構更有優勢。

Q6： 企業IAM在零信任架構中起到什麼作用？

答：零信任的本質就是持續的身份鑑別與訪問控制，企業IAM在整個零信任架構中，不僅要為各類使用者、裝置、應用、資料提供統一的、權威的身份鑑別服務；還需要具備整合企業或外部各種認證技術的能力，實現企業級的統一訪問控制。因此，我們可以看出，IAM是零信任架構中的一個重要組成部分，透過實施IAM專案，企業可以將原本分散的使用者體系、認證體系整合起來，同時進一步加強使用者在應用層面的最小化許可權控制力度，為逐步實現零信任架構下的多層訪問控制提供堅實的身份治理服務能力。

Q7： 零信任架構中的IAM與傳統IAM相比，有哪些技術差異？

答：在Gartner關於構建敏捷和現代化身份基礎設施的技術報告中對現代化IAM的定義：是一個全新的、動態的、智慧的架構，透過不斷增強的、先進的分析技術，演進以滿足企業未來身份管理的基礎設施。和傳統的IAM相比，除了對使用者身份的統一管理、認證和授權之外，現代化IAM還需要實現基於大資料和AI技術的風險動態感知與智慧分析，對於使用者訪問的行為資料、使用者的特徵和許可權資料，以及環境上下文資料進行分析，透過風險模型自動生成認證和授權策略，

Q8：實現零信任架構的關鍵能力是什麼？

答：關鍵能力包括可信識別、持續信任評估、業務訪問鑑權、網路訪問許可權控制和安全視覺化能力。可信識別能力是零信任的基礎能力，包括使用者可信識別、受控裝置可信識別和受控應用可信識別。透過可信的使用者在可信的受控裝置上使用可信的應用，對受保護資源進行可信的訪問。在此能力基礎上，依託持續信任評估能力，對訪問主體的整個訪問過程進行監控分析，對使用者、受控裝置和應用的可信度進行持續的信任評估，根據評估結果透過應用訪問控制能力和網路訪問控制能力進行動態的許可權控制，並透過安全視覺化能力將訪問流量、路徑和效果等直觀呈現，為企業安全運營提供有力的決策支撐。

Q9：在零信任架構下，如何做到安全視覺化的？

答：透過視覺化技術將訪問路徑、訪問流量、使用者異常訪問行為直觀展示，也可以將線上裝置狀態、統計情況、策略執行情況、執行路徑等視覺化呈現，幫助安全運營人員更為直觀、更為全面的瞭解訪問主體的安全狀態和行為，從而更快速、更精準的找到風險點，觸發安全響應，支撐安全決策。

Q10：如果我的企業想要構建零信任體系，應該如何接入？

答：企業具體落地的時候，首先要圍繞關鍵訪問路徑，做接入安全建設，做身份安全、細粒度的訪問控制、安全鏈路。然後再根據企業的需求，圍繞聯動關鍵接入過程，做終端安全、網路安全、資料安全等，根據企業實際需求，投入不同關鍵的安全元件，極大降低企業的安全風險。

Q11：構建零信任架構需要遵循什麼原則？

答：沒有規矩，不成方圓。一般來說構建零信任有6個原則需要遵循：

任何訪問主體（人/裝置/應用等），在訪問被允許之前，都必須要經過身份認證和授權，避免過度的信任；

訪問主體對資源的訪問許可權是動態的，不是靜止不變的；

分配訪問許可權時應遵循最小許可權原則；

儘可能減少資源非必要的網路暴露，以減少攻擊面；

儘可能確保所有的訪問主體、資源、通訊鏈路處於最安全狀態；

儘可能多的和及時的獲取可能影響授權的所有資訊，並根據這些資訊進行持續的信任評估和安全響應。

Q12：構建零信任架構，有哪些核心元件是必備的？

答：零信任作為新一代安全架構，必備的關鍵元件包括終端代理、身份認證、動態信任評估引擎、訪問控制、安全訪問閘道器等。

零信任部署應用

Q13：當前零信任具體應用場景有哪些？

答：零信任理念主要是以動態訪問控制為核心的企業內部安全框架，可以非常靈活的應對多種安全場景，包括遠端辦公/運維場景、混合雲業務場景、分支安全接入場景、應用資料安全呼叫場景、統一身份與業務集中管控場景等。

Q14：業務上雲趨勢下，零信任如何解決混合雲業務場景下的安全問題？

答：在零信任安全架構下，透過零信任訪問閘道器的隧道聯通技術，將分散在不同環境的業務系統統一管理，同時，利用閘道器將業務系統的真實IP、埠隱藏，保障了業務部署於任何環境下的訪問安全性，有效防禦資料洩露、資料丟失、DDoS攻擊、APT攻擊等安全威脅。同時，訪問策略從以IP為中心轉變為以身份為中心，訪問鑑權不隨策略的頻繁變更而變更。同時，跨過混合雲網路間的邊界隔離，可以讓使用者靈活便捷且更為安全的訪問處於不同雲上的業務系統。

Q15：零信任安全架構如何確保分支安全接入場景的安全性和穩定性？

答：零信任具有靈活快速適配客戶訪問端和業務端多樣性的特點，同時保障訪問鏈路穩定性和安全性，可以解決很多問題，像企業分支/門店有接入總部、訪問總部業務或者跟總部業務之間有資料交換面臨的接入點種類數量多，攻擊面廣；業務型別多，訪問協議多樣；專線部署成本高，VPN安全性和穩定性不能保證等等。

Q16：在遠端/雲辦公這一新型高效辦公場景下，零信任如何解決新安全風險的？

答：零信任遠端辦公安全高效在於遵循 “4T原則”，即可信身份（Trusted identity）、可信裝置（Trusted device）、可信應用（Trusted application）和可信鏈路（Trusted link），透過按需、動態的實時訪問控制策略，對終端訪問過程進行持續的許可權控制和安全保護，包括病毒查殺、合規檢測、安全加固、資料保護等，實現終端在任意網路環境中安全、穩定、高效的訪問企業資源及資料。同時，終端一鍵授權登入和全球網路加速接入等功能的設定，幫助企業解決快捷登入和跨境跨運營商訪問卡頓或延遲過高的問題，最佳化辦公體驗、提升建設收益。

Q17：在統一身份與業務集中管控場景中，零信任如何是實現安全性和便利性的統一？

答：基於零信任安全的統一身份管控解決方案，透過統一認證、統一身份管理、集中許可權管理、集中業務管控、全面審計能力，幫助企業實現安全性與便利性的統一，從而確保企業業務的安全訪問。方案將身份的外延擴充套件到包含人、裝置、應用，在基於角色授權框架的基礎上，結合上下文感知資訊（身份安全變化、裝置安全狀態變化等），實現自適應的訪問控制。同時，方案結合風控領域的積累，實現對於整體人、裝置、訪問風險的集中審計和智慧評估，讓安全可識可視。

Q18：在訪問過程中，零信任是如何實現許可權控制的？

答：零信任架構打破了傳統基於網路區域位置的特權訪問保護方式，重在持續識別企業使用者中在網路訪問過程中受到的安全威脅，保持訪問行為的合理性，以不信任網路內外部任何人/裝置/系統，基於訪問關鍵物件的組合策略進行訪問控制。針對不同的人員、應用清單、可訪問的業務系統、網路環境等組合關係，細粒度下發不同的訪問策略，保證核心資產對未經認證的訪問主體不可見，只有訪問許可權和訪問信任等級符合要求的訪問主體才被允許對業務資產進行訪問。透過對訪問主體的逐層訪問控制，不僅滿足動態授權最小化原則，同時可以抵禦攻擊鏈各階段攻擊威脅。當企業發現安全風險，影響到訪問過程涉及到的關鍵物件時，自身安全檢測可以發起針對人、裝置、訪問許可權的禁止阻斷。

Q19：部署零信任架構的關鍵點是什麼？

答：要從“身份”、“認證”、“許可權”、“動態”、“訪問控制”這幾個方面去說。第一步，要實現資料的身份管理，藉助敏感資料發現能力和資料分級分類的能力對資料進行標識，做到資料身份化；第二步，按照最小許可權原則，構建身份和資料許可權的對映關係；第三步，藉助認證和許可權的能力，採用資料授權與鑑權、資料操作審計、運維和測試資料脫敏、高敏感資料加密、資料水印等技術，防止在資料使用過程中出現資料洩露和篡改，透過基於資料標籤、使用者屬性、資料屬性等的訪問控制，實現資料細粒度訪問控制；第四步，根據主體的環境屬性及安全狀態動態調整訪問許可權。

Q20：未來零信任會成為企業安全防護的標準配置嗎？

答：在企業的IT架構和管控方面，零信任和身份認證的重要性是越來越強。零信任的框架是在授權前對任何試圖接入企業系統的人/事/物進行驗證。雲端計算、移動互聯的快速發展導致傳統內外網邊界模糊，企業無法基於傳統的物理邊界構築安全基礎設施，只能訴諸於更靈活的技術手段來對動態變化的人、終端、系統建立新的邏輯邊界，透過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化，以身份為中心的零信任安全成為了網路安全發展的必然趨勢。

Q21：隨著零信任的發展，零信任交付的趨勢會是怎樣的？

答：起步較早的外國市場，零信任商業化落地較為成熟，SECaaS（安全即服務）已成主流交付。國內已經有很多企業將零信任理念付諸實踐，大多零信任產品交付模式上仍以解決方案為主，未來，我國零信任交付模式也有望逐漸向 SECaaS 轉變。

騰訊零信任探索和實踐

Q22：騰訊目前有哪些基於零信任的產品/方案？

答：騰訊從16年開始探索研究零信任，目前推出了零信任安全管理系統（騰訊iOA），基於身份可信、裝置可信、應用可信、鏈路可信的“4T”可信原則，持續驗證，永不信任，對終端訪問過程進行持續的許可權控制和安全保護，降低企業不同業務場景的風險，實現終端在任意網路環境中安全、穩定、高效地訪問企業資源及資料，已在政府、金融、醫療、交通等多個行業領域應用落地。同時，騰訊在零信任架構下，推出基於SDP安全架構的安全連線雲服務，支援連線公有云應用及私有化應用，提供新一代的安全接入雲服務。

 Q23：騰訊iOA目前的進展和應用怎麼樣？

答：實踐出真知，騰訊iOA已經過7萬多員工的實踐驗證。在2020年新冠疫情期間，更是支撐了全網員工的工作，在滿足資訊互通、收發郵件、遠端會議、流程審批、專案管理等基本辦公需求基礎上，同時實現遠端無差別地訪問 OA 站點和內部系統、開發運維、登入跳板機等。除了騰訊自身，iOA還在慧擇保險、中交建設集團、招商局集團、寶安區政府、四川人民醫院等客戶成功應用。

Q24：在完善零信任行業標準方面，騰訊做了哪些工作，取得了什麼成果？

答：騰訊在安全運營中踐行零信任安全理念，積極推動並參與行業標準制定，促進零信任產業規範化發展。

2019年7月，騰訊牽頭的“零信任安全技術參考框架”獲CCSA行業標準立項；

2019年9月，騰訊零信任安全研究成果入選《2019年中國網路安全產業白皮書》；同月，騰訊發起的“服務訪問過程持續保護參考框架” 獲ITU-T國際標準立項；

2020年6月，騰訊聯合業界多家權威產學研用機構，在產業網際網路發展聯盟下成立國內首個零信任產業標準工作組，以“標準化”為紐帶，致力為使用者提供高質量的產品和服務；

2020年8月，工作組在業界率先發布《零信任實戰白皮書》；

2020年10月，工作組發起零信任產品相容性互認證計劃，促進不同廠商間零信任相關產品的相容性和互聯互通；

2020年11月，工作組推動“零信任系統技術規範”聯盟標準研製工作； ……

未來騰訊將繼續以自身的技術和實踐經驗為基礎，協同生態夥伴共同促進零信任產業規模化發展，為零信任在各行業領域的落地提供參考。