零信任发展洞察报告（2022.12）

版权声明 本报告版权属于零信任实验室和云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：零信任实验室和云计算开源产业联盟”。违反上述声明者，实验室与联盟将追究其相关法律责任。 前言 近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新的浪潮。数字化在为企业提质降本增效的同时，也为企业IT架构带来新的安全挑战，传统安全防护机制遭遇瓶颈，探索适应企业数字化转型需求的新一代安全体系具有重要意义。 零信任理念及架构能够有效应对企业数字化转型过程中的安全痛点，愈发得到行业关注。在此背景下，零信任实验室和云计算开源产业联盟继《零信任发展与评估洞察报告（2021年）》后第2次发布报告。报告基于对重点零信任供应侧企业的调研结果，从零信任发展呈现的四点趋势展开，对我国零信任的发展趋势与供应侧的零信任生态进行观察和分析。一是，在未来，零信任与数字身份密不可分，并向统一整个基础设施的策略管理发展。二是，在零信任供应侧方面，梳理了零信任理念所涵盖的六大能力、供应生态概况、金融行业与电信行业在零信任落地方面的表现，包括：落地零信任用户数量、不同类型的零信任产品应用情况、应用场景与环境等。三是，对零信任产品与身份安全产品、终端安全产品，以及安全管理类产品的联动能力进行调研。最后展望我国零信任产业发展，应从提升技术壁垒避免同质化竞争、强化安全产业供应链间合作、持续强化信创改造、细化实施引导、以及深化行业应用五方面开展。 参与编写单位 中国信息通信研究院、北京蔷薇灵动科技有限公司、腾讯云计算（北京）有限责任公司、联通数字科技有限公司、绿盟科技集团股份有限公司、深信服科技股份有限公司、北京持安科技有限公司、北京芯盾时代科技有限公司、成都云山雾隐科技有限公司、中移（苏州）软件技术有限公司、数篷科技（深圳）有限公司、天翼云科技有限公司、上海派拉软件股份有限公司、江苏易安联网络技术有限公司、贵州白山云科技股份有限公司、北京天融信网络安全技术有限公司、奇安信科技集团股份有限公司、网宿科技股份有限公司、新华三集团、北京从云科技有限公司、广东一知安全科技有限公司、深圳竹云科技股份有限公司、北京指掌易科技有限公司、杭州亿格云科技有限公司、ZTE中兴通信、飞天诚信科技股份有限公司、北京栖安科技有限责任公司、山石网科通信技术股份有限公司、苏州云至深技术有限公司、杭州默安科技有限公司、北京国信融信科技产业有限公司、北京哈希安全科技有限公司、深圳市米特信息科技有限公司、广州锦行网络科技有限公司 编制人员 吴倩琳、栗蔚、孔松、郭雪、陈镇东、熊瑛、王丹、邹艳鹏、谌鹏、张慧莹、杨志刚、姚坤、何艺、季文东、曾帅、杨一飞、严益昌、王肖斌、张羽、王鑫渊、刘羽、左奕航、张丽婷、许博文、汤冰洁、赵菁菁、赵培、程君、秦忠鹏、李沂航、史晓婧、王杰、王璐瑶、侯芳、崔石磊、廉秀苓、张建伟、崔芙蓉、张秀岩、宋园园、亚米、黄佳妮 目录 一、零信任发展备受关注3 1.零信任发展呈以下四点趋势3 1.1零信任产品形态向大而全的平台化、集成化演进3 1.2身份管理分层之上与更多安全能力结合3 1.3身份信息穿透业务访问全程4 1.4南北向流量与东西向流量统一纳管5 2.零信任相关政策与标准涌现，驱动产业规范发展6 二、供应侧的零信任能力生态逐渐成熟9 1.围绕六大领域能力，建立产品体系9 2.零信任能力供应生态丰富11 3.持续提升产品联动能力，加快与现有架构融合15 三、行业应用不断深化，零信任市场步入成长期18 1.零信任市场近三年呈持续增长态势18 2.不同应用场景逐步实现零信任落地21 四、我国零信任产业发展展望23 图目录 图1身份信息与各类安全工具的事件信息贯通4 图2身份信息穿透业务访问全程5 图3统一整个基础设施的策略管理6 图4我国零信任供应侧发展路径12 图5供应侧SaaS化情况13 图6供应侧零信任安全能力14 图7身份安全产品联动情况16 图8安全管理产品联动情况17 图9终端安全产品联动情况18 图10供应侧企业落地零信任客户数量区间19 图11微隔离类产品纳管工作负载总数20 图12软件定义边界类产品纳管员工总数21 图13零信任应用环境情况22 图14落地零信任使用场景情况23 表目录 表1国外零信任相关政策6 表2零信任能力域与能力项10 一、零信任发展备受关注 1.零信任发展呈以下四点趋势 1.1零信任产品形态向大而全的平台化、集成化演进 零信任从为企业解决部分安全问题向解决整体的网络安全问题发展，向架构性的平台前进。一方面，当下企业选择零信任主要解决数据中心网络安全接入的问题，但随着企业云计算使用规模逐步提升，安全边界的粒度逐步细化，安全风险不再以网络分隔出的安全域为维度划分，而是以访问的业务为维度进行划分，仅解决网络安全接入并不能满足业务安全需求，需要贴合业务的身份以解决业务访问全链路的风险，从而缓解整个企业网络的安全问题。另一方面，安全本身在企业中是一种横向的能力，集成的、聚合的安全能力可形成平台化的、中台化的产物，基于零信任理念的架构性平台可在身份安全、终端安全、数据安全、网络环境安全、工作负载安全等方面提供全方位的防护。 1.2身份管理分层之上与更多安全能力结合 零信任是为了应对基础设施的变化、为了应对无边界化后网络安全威胁而出现的手段，零信任基于访问主体身份为访问过程提供全链路的安全保障，如图1所示。一是建立身份管理分层。零信任在逻辑上建立了一张基于身份的网络，赋予人、设备、工作负载等实体唯一身份标识，基于身份对访问主体进行动态访问控制。二是在身份管理 分层之上建立安全管理分层，将更多的安全能力进行编排。传统安全 工具缺乏访问主体身份识别能力，如防火墙仅能识别访问主体IP，然而IP并非访问主体唯一身份标识，因此诸如防火墙一类的传统安全工具无法确定访问主体身份。零信任架构下将传统安全能力与身份管理分层共同编排，通过编排链共享身份信息，实现基于身份的安全管理分层，以针对访问过程实现动态访问控制。 来源：中国信息通信研究院2022年12月 图1身份信息与各类安全工具的事件信息贯通 1.3身份信息穿透业务访问全程 通过应用改造实现身份信息“穿透”业务访问全程。如图2所示，当下应用访问过程中的身份调用是中断的，例如当用户通过零信任网关访问某应用时，前端应用可以识别访问主体的身份，当应用调用后端数据库时，会建立新的会话连接，数据库视角所见是应用在进行服务调用，此时访问过程中的身份调用已中断。零信任架构下，应用应携带访问主体的身份信息对数据库发起访问，数据库的策略决策点将基于身份进行权限和执行策略的判定，默认不信任前端应用。诸如前端应用、后端数据库等检控点都应具备策略执行能力，因此需要对应用进行改造以实现身份信息穿透业务访问全程。 来源：中国信息通信研究院2022年12月 图2身份信息穿透业务访问全程 1.4南北向流量与东西向流量统一纳管 统一整个基础设施的策略管理，弥补零信任网络访问与微隔离在物理拼接后留下的防护断层。如图3所示，物理式拼接易留下潜在安全威胁，例如业务通过零信任网关对外暴露时，Web服务对外暴露，但后端数据库不对外暴露，所有从外部访问Web的流量受零信任网关上相应策略的管控，此处需设计一套面向南北向流量的管控策略；Web服务与后端数据库通过微隔离进行网络微分段，数据库工作负载需设置限制，仅允许从Web服务过来的流量通行，此处需设计一套面向东西向流量的策略。一旦任意工作负载发生变化，两套策略需要同时修改，否则将留下防护断层，为解决上述问题，可统一基础设施的流量策略，通过使用一套策略对全网流量进行管理。 来源：中国信息通信研究院2022年12月 图3统一整个基础设施的策略管理 2.零信任相关政策与标准涌现，驱动产业规范发展 随着零信任落地及商业模式走向成熟，零信任已逐渐成为政府与企业数字化转型的安全首选战略，各国在近五年都出台了零信任相关政策，以加快零信任部署落地，为数字经济快速发展护航。 以美国为首的发达国家高度重视零信任能力建设。如表1所示， 自2019年起，美国陆续发布零信任指导建议、计划等推动零信任在美落地，其他发达国家也纷纷在零信任领域展开布局，以强化网络空间话语权。2022年11月22日，美国国防部发布了《国防部零信任战略》和《国防部零信任能力执行路线图》，计划在2027年之前实施战略和相关路线图中概述的独特的零信任能力和活动。 表1国外零信任相关政策 时间 政策发布组织 名称 侧重点 美国 2019.04 ACT-IAC（美国技术委员会 -工业咨询委员会） 《零信任网络安全当前趋势》 对政府机构采用零信任进行评估 2019.07 DIB（美国国防创新委员会） 《零信任安全之路》 指导国防部实施零信任架构 2019.07 DISA（美国国防信息系统局） 《DISA战略计划2019-2022》 明确DISA网络防御战略重点为零信任 2019.10 DIB 《零信任架构（ZTA）建议》 建议将零信任实施列为最高优先事项 2021.02 DISA 《国防部零信任参考结构》1.0 建议DoD下一代网络安全架构基于零信任建设 2021.02 NSA（美国国家安全局） 《拥抱零信任安全模型》 提出渐进式部署零信任方式 2021.05 美国总统拜登 14028号行政令 发动联邦政府迁移上云使用零信任架构 2021.09 OMB（联邦政府管理和预算办公室） 《美国政府向零信任网络安全原则的迁 移》（征求意见稿） 要求各机构在2024年前实现具体的零信任安全目标 2021.09 CISA（网络安全和基础设施安全局） 《零信任成熟度模 型》（征求意见稿） 细化五个“具体的零信任安全目标” 2021.09 CISA 《云安全技术参考架 构》（征求意见稿） 推荐采用零信任辅助迁移上云 2022.11 DoD（国防部） 《国防部零信任战略》、《国防部零信任能力执行路线图》 概述国防部计划如何在2027年前在国防部范围全面实施零信任网络安全框架 英国 2020.10 NCSC（英国国家网络安全中心） 《零信任架构设计原则》 积极响应美国零信任战略，为政企机构实施零信任提供参考 加拿大 2021.03 加拿大政府部门机构-共享服务部 《网络与安全战略》 采用零信任等新方法支撑未来网络服务 新加坡 2021.10 新加坡政府 《网络安全战略2021》 要求相关机构实现从边界防护向零信任安全模式转变 来源：公开材料整理 我国加大政策保障，推动零信任落地。目前我国正在从政策、行业实践、产业发展等多个层面对零信任进行积极探索，工业和信息化部通过多种举措引导零信任发展，前期以推动零信任理论研究和技术创新为主，后期加强零信任技术，推动项目落地，具体表现为：一是，发布《网络安全产业高质量发展三年行动计划（2021-2023年）》，重点围绕“加快开展基于开发安全运营、主动免疫、零信任等框架，推动创新技术发展与网络安全体系研发。加快发展动态边界防护技术，鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用”等内容展开。二是，多个零信任项目在试点示范项目名单上发布，包括“2022年网络安全技术应用试点示范项目名单”、“2021年大数据产业发展试点示范项目名单”等。 我国已从多层级启动零信任标准研究，协助建立产业规范。为落实国家网络信息安全相关要求，我国已从多层级开展零信任标准研究。国际标准方面，由中国企业主导的ITU-T（国际电信联盟电信标准分局）零信任国际标准《服务访问过程持续保护指南》正式发布；国家标准方面，全国信息安全标准化技术委员会正在开展《信息安全技术零信任参考体系架构》的编制；行业标准方面，中国通信标准化协会 正在开展《面向云计算的零信任体系第2部分：关键能力要求》、《面向云计算的零信任体系第4部分：成熟度评价模型》、《面向云计算的零信任体系第5部分：数字身份安全能力要求》与《零信任安全技术参考框架》等标准的研究工作。