隨著產業數字化升級和企業“上云”的不斷推進，零信任作為一種新安全理念，成為全球網絡安全的關鍵技術和大趨勢。

　　據MarketsandMarkets預測，零信任安全市場規模將從2019年的156億美元增長到2024年的386億美元，2019-2024年的復合年均增長率為19.9%。

　　在國內，從零信任政策及標準逐步落地，到互聯網科技巨頭廠商積極布局，市場的火熱已顯而易見。有業內人士預測，零信任現在還處于膨脹期，在未來的2-5年會成為一種主流方案。

　　風口之下，零信任的未來清晰了嗎？

　　什么是零信任？

　　作為2010年就被Forrester定義的安全模型，“零信任”正在成為不斷變化的現代工作場所的安全戰略指南。

　　正如美國國家標準與技術研究院（NIST）所總結的那樣，零信任是一套“將防御系統從靜態的基于網絡的周邊轉向關注用戶、資產和資源不斷發展的網絡安全范式”。

　　簡單地說，“零信任”意味著“什么都不相信，驗證一切”。它要求任何用戶（公司內部或外部）在獲準訪問系統、應用和數據之前必須經過身份驗證和授權。

　　值得注意的是，“零信任”是一種理念，而不是一種技術。沒有單一的產品或解決方案能夠使企業獨自實現“零信任”。

　　目前來看，由美國國家標準委員會NIST于2019年對外公布的“SIM”（SDP、IAM和MSG），已成為行業公認的實現零信任的三大技術路徑。

　　軟件定義邊界（SDP）

　　在SDP中，客戶端首先進行多因素認證，認證設備的可靠性等。通過后，才進入用戶登錄階段。這兩步均是客戶端與IT管理員進行交互，不涉及對具體服務的訪問。當認證通過后，客戶端才能夠與可訪問的服務建立連接。

　　身份識別與訪問管理（IAM）

　　IAM具有單點登錄、認證管理、基于策略的集中式授權以及審計、動態授權等功能。它決定了誰可以訪問，如何進行訪問，訪問后可以執行哪些操作等。

　　和傳統的IAM相比，除了對用戶身份的統一管理、認證和授權之外，現代化IAM還需要實現基于大數據和AI技術的風險動態感知與智能分析，對于用戶訪問的行為數據、用戶的特征和權限數據，以及環境上下文數據進行分析，通過風險模型自動生成認證和授權策略

　　微隔離（MSG）

　　微隔離是細粒度更小的網絡隔離技術，能夠應對傳統環境、虛擬化環境、混合云環境、容器環境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業數據中心網絡內部后的橫向平移。

　　零信任風口期到來

　　數字化轉型的加速和云計算的不斷普及，都推動了“零信任”理念的快速落地。

　　“零信任”應用場景不僅僅是遠程辦公，SaaS營運安全、大數據中心、云安全平臺等都是典型的應用場景。

　　任何企業網絡都可以基于“零信任”原則進行設計，大多數組織的企業基礎架構已經具備了“零信任”的某些要素，或者正在通過實施信息安全、彈性策略和最佳實踐來實現“零信任”。

　　目前，“零信任”市場參與者較多，主要有四大類參與者：

　　云巨頭：谷歌、微軟，以及國內的騰訊云、阿里云等巨頭企業，率先在企業內部實踐“零信任”并推出完整解決方案；

　　身份安全公司：Duo、OKTA、Centrify、Ping Identity 推出“以身份為中心的”零信任“方案”；

　　綜合安全廠商：思科、Akamai、Symantec、F5 ，以及國內亞信安全、啟明星辰、深信服、奇安信等，都推出了偏重于網絡實施方式的“零信任”方案；

　　初創安全公司：Vidder、Cryptzone、Zsclar、Illumio，以及國內的芯盾時代等初創公司。

　　另外，收購兼并成為目前“零信任”市場的主旋律。如思科、派拓、賽門鐵克、Unisys、Proofpoint這樣的巨頭玩家，多以收購的方式實現在“零信任”網絡訪問的縱深和業務的橫向布局。

　　可以看到，“零信任”已到來風口期，成為炙手可熱的網絡安全熱詞。但“零信任”概念誕生已有10年，為什么是現在得以爆發？

　　具體而言，零信任安全架構之所以能夠在近年來快速崛起，有三大優勢不可忽視。

　　首先，是極限思想。零信任安全“不相信任何人/事/物”，不管其是什么級別、所處何種網絡。零信任的企業業務應用系統默認關閉所有端口，拒絕內外部一切訪問，只對合法客戶端的IP定向動態開放端口，由此就可以直接避免任何非法的掃描和攻擊。

　　其次，是連續思想。零信任對外部的訪問，不是一次性驗證的，而是持續性驗證的，而且還會根據驗證、監控的結果，對訪問進行信任評估和權限調整。這種“連續性的響應”，可以全程保證訪問都在管控之下。

　　再次，是最小化思想。最小化思想或者說最小化原則，在保證訪問“夠用”的同時，也極大地縮小了被攻擊的攻擊面；在此基礎上加之微隔離的手段，就可以最大程度地避免攻擊的范圍，以及阻斷攻擊的傳染性。

　　這種“思想”層面的領先型，或許才是零信任安全架構終將顛覆傳統網絡安全架構的最堅實底座。

　　零信任如何落地？

　　“零信任”讓網絡安全、網絡交付乃至整個IT行業，都有了新的興奮點。一場由“零信任”安全引發的網絡安全領域的劇變，即將來臨。

　　然而，形勢大好之下尚有一個不可否認的事實：就國內而言，“零信任”的應用之路尚處于導入期。

　　因其搭建涉及到對企業現有網絡體系進行大幅改造等因素的影響，加之千變萬化的業務場景需求，決定了“零信任”的大規模落地實踐無法在短期內一蹴而就。

　　如何破解建設瓶頸，深入“零信任”安全實踐，成為擺在數字化企業面前的共同之問。

　　雖然在網絡系統構建之初，將“零信任”作為系統的原生“基因”，是行業普遍認為最理想的構建之法，但“零信任”網絡安全框架的搭建并沒有唯一方法和標準。“零信任”安全實踐并不意味著“推翻”，而是基于身份細顆粒度訪問控制體系的整合疊加。

　　然而，這一“整合疊加”并非簡單的“補丁”模式，甚至可能觸及企業原有網絡安全體系的根基，大量人力和成本投入真實可見。

　　因此，企業領導人的支持在此過程中就顯得尤為關鍵。對企業現有網絡安全需求進行全盤分析，既是明晰零信任構建之路、制定策略的關鍵，也是能夠成功說服領導人的有效之法。

　　當然，企業員工作為零信任安全框架的具體實施者，其能否實現思維方式的更新也是零信任安全體系能夠發揮應有效能所不容忽視的因素。

　　因此，圍繞“零信任”安全資深專家的專業培訓和教育，成為企業零信任落地實踐中不可或缺的重要部分，也是保持企業零信任安全架構以長期優化機制，保有動態化、靈活化特征優勢的關鍵所在。

　　此外，在零信任產業市場碎片化、生態分散化的大趨勢下，零信任的發展亟需行業生態來規范引導。只有聯合更多行業生態形成合力，攜手生態伙伴在相應的場景、環節建立相應的安全體系，才能真正實現網絡安全體系的轉變。

　　在此過程中，安全企業作為零信任安全方案和產品的提供者，其推動之力顯然是零信任安全落地實踐的重要引擎。

　　安全企業通過不斷深化對技術路徑和方案的探索研究，才能讓更多的企業更為精準地找到最適合自身業務場景的“零信任秘方”。

　　總的來說，“條條大路通羅馬”，企業要做的就是結合自身傳統安全體系、身份、賬號、權限控制以及審計管理的現狀，找到最適合自身業務系統的最優路徑。

　　同時，也要聯合多方力量，共同探索“零信任”最佳實踐之路。

　　值得注意的是，安全行業一向以合規要求和業務需求為雙重驅動力。企業對“零信任”的業務需求已逐漸凸顯，若加上嚴格而有效的合規要求，即使改革成本大，“零信任”都會加速落地。

　　進入2021，從“零信任”開始的新網絡安全體系，或許真的將落地了。