CONTENTS 01摘要01 02中国神兽方阵简介02 03零信任市场 3.1零信任定义04 3.2零信任产品(三大主流技术SIM)07 04中国零信任神兽方阵 4.12022中国零信任神兽方阵09 4.2对入选企业的介绍与点评10 05分析与总结 5.1市场现状25 5.2技术和市场趋势28 5.3面临的挑战30 06评价方法论 6.1公司选择32 6.2评价维度32 6.3入选标准34 6.4评价流程和要求35 07展望36 鸣谢37 01 01摘要 零信任模型于2010年由零信任之父、国际云安全联盟CSA安全顾问(原Forrester分析师)约翰·金德维格(JohnKindervag)正式提出。新冠疫情的流行促使企业从传统的办公环境转向居家办公模式,加速了企业期待已久的向零信任安全战略的转变。大规模移动、云计算、软件即服务 (SaaS)以及自携设备打破了安全边界,组织开始由传统企业环境转型为无边界网络。随着数字化的逐步实现,传统的网络安全边界已经消亡,再也不存在内外之分。在数字技术与新冠疫情推动下,安全威胁发生重大变化。 零信任代表了新一代的网络安全防护理念,关键之处在于打破默认的“信任”,用一句通俗的话概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。 零信任给广大企业带来了新一代网络安全的战略理念,零信任的落地和价值的发挥是一项复杂工程。作为全球零信任产业引领组织,CSA为业界更好地促进零信任实施做了大量的贡献,首先将SDP开源贡献给业界,形成了由数百家网络安全厂商构成的零信任生态,其次推广CZTP零信任专家认证课程,为业界实施零信任培养了上千名网络安全专业人才,而最近建立CSA零信任推进中心,则携手零信任领先厂商们为广大客户们排解落地疑难。此外,国际云安全联盟大中华区每年举办的国际零信任峰会,已成为全球认可的零信任领域的风向标活动。 2020年开始,国际云安全联盟大中华区为了向业界完整呈现中国零信任的行业生态,让读者对零信任有一个全面的认知,同时提高零信任领域相关厂商和优秀实践者的曝光度和知名度,为打算实施零信任的甲方提供完整的参考,开始发布《中国零信任全景图》,这项活动已经持续了两年。 国际云安全联盟大中华区今年首次推出了《中国零信任神兽方阵报告》,从技术和市场两个维度评估目前零信任市场的主要厂商,帮助广大厂商和对零信任有兴趣的人员和组织进一步了解该市场的趋势。本报告是《中国零信任全景图》的补充,更关注于对零信任厂商的分析,勾勒出这些厂商在市场上的相对位置,进一步推动零信任市场的健康发展。 02 02中国神兽方阵简介 中国神兽方阵(ChinaMythicalCreaturesMatrix)是在联合国科学技术促进发展委员会和联合国数字安全联盟指导下,由国际云安全联盟大中华区基于中国传统文化创立的分析模型,适用于数字科技各领域的通用分析。神兽方阵将中国的传统元素在数字世界点亮,通过神兽形象树立具有中国特色的科技标杆,助推与加速优秀科技企业的发展,从而带动整体的科技创新。 中国神兽方阵模型以“四象”即青龙、白虎、朱雀、玄武为基础,“四象”又称“天之四灵”,分别是镇守东西南北四方的神兽,其中青龙为东方之神,是四灵之首;白虎为西方之神,也是战斗之神;朱雀为南方之神,有浴火重生之职能;玄武为北方之神,以防守见长。模型的创立旨在为数字安全领域树立具有中国特色科技标杆企业的行业分析品牌。方阵模型图及该模型中各神兽的定位与描述如下: 图2-1:神兽方阵模型图 青龙-四灵之首:企业在零信任领域投入高,且研发能力、产品成熟度、市场营收及知名度方面整体实力强的头部企业。 白虎-战斗之神:企业在产品方面作出快速的调整及创新,且获得市场的认可,在相关领域市场影响力大,占有率高。 03 朱雀-功力之神:企业具有核心竞争力的特定领域的产品,技术研发实力强,产品成熟度高,并有良好的市场占有率。 玄武-后起之秀:企业初创或新开设业务线,已在技术研发能力方面具有很强的能力及市场能力,是特地领域崛起的力量,潜力强。 国际云安全联盟大中华区发布的中国神兽方阵系列将涵盖云安全、数据安全、零信任、物联网安全、隐私科技、区块链等数字技术安全领域,从技术先进性与市场影响力两大维度对厂商进行评估,从研发能力、知识产权、营收情况等子维度做出分析与评价,并将具有特色能力的科技标杆企业通过方阵对应神兽进行代表。神兽方阵逐步渗透到数字安全各细分领域,寻找出各领域的科技标杆企业,引领行业企业的整体创新,推动数字安全发展。 03零信任市场 零信任思想的历史可以追溯到2004年成立的耶利哥论坛(JerichoForum),其重点研究方向之一就是探讨无边界趋势下的网络安全架构和解决方案。零信任(ZeroTrust)这个术语最早是由时任Forrester分析师的JohnKindervag于2010年提出,目前John已经加入国际云安全联盟CSA担任安全顾问。 随着云计算、物联网以及移动办公等新技术新应用的兴起,企业的业务架构和网络环境随之发生了重大的变化,给传统边界安全理念带来了新的挑战。新冠疫情以来,远程办公、多方协同办公等成为常态,带来了访问需求复杂性变高和内部资源暴露面扩大的风险,各种设备、各种人员接入带来了设备、人员的管理难度和不可控安全因素增加的风险,高级威胁攻击带来了边界安全防护机制被突破的风险,这些都对传统的边界安全理念和防护手段提出了挑战,亟需有更好的安全防护理念和解决思路。传统边界安全理念先天能力存在不足,新技术新应用又带来了全新的安全挑战。 04 3.1 零信任定义 零信任架构重新评估和审视了传统的边界安全架构,并给出了三个基本思路:应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置评估信任;默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;并且访问控制策略应该是动态的,基于设备和用户的多源环境数据计算得出。 ForresterResearch提出的零信任模型“消除了可信网络的概念”并教导“在零信任中,因为所有网络流量都是不可信的,所以安全专业人员必须验证和保护所有资源、限制并严格执行访问控制、检查和记录所有网络流量”。Forrester于2010年发布了最初版本的零信任模型,在接下来的几年中,Forrester修订2010版零信任模型并最终发布了零信任扩展(ZeroTrusteXtended,ZTX)模型。ZTX模型提供丰富的内容和以数据为中心的完整模型,如图3-1所示。ZTX模型反映了Forrester的观点,即将本地环境(On-prem)和云计算环境所面临的“数据大爆炸(DataExplosion)场景”视为保护核心,同时也保护数据管道的周边元素,例如工作负载、网络、设备和人员。 图3-1:Forrester零信任扩展模型 2019年,NIST撰写了零信任架构特别出版物(SP800-207),该文章将零信任理念融入零信任架构(ZTA)的抽象定义,并提出了ZTA开发和实施的指导原则,如图3-2所示。 05 图3-2:零信任原则,NISTSP800-207 根据NIST(美国国家标准与技术研究院)关于《零信任》白皮书的定义: 零信任(ZeroTrust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。因此,零信任企业是作为零信任架构规划的产物,是针对企业的网络基础设施(物理和虚拟的)及运营策略的改造。 中国通信标准化协会(CCSA)在《零信任安全技术参考框架》中把零信任定义为: 一组围绕资源访问控制的安全策略、技术与过程的统称,从对访问主体的不信任开始,通过持续的身份鉴别和监测评估、最小权限原则等,动态调整访问策略和权限,实施精细化的访问控制和安全防护。 零信任对访问控制进行了安全范式上的改变,引导网络安全架构从“网络中心化”走向“身份中心化”。从技术方案层面看,零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。零信任是指谨慎地建立信任基础,提升信任,最终在预设的时间内允许合理级别的访问”。零信任“并不是没有信任,而是让信任边界最小化,减少网络攻击的爆炸边界”。零信任“是把安全风险最小化的一种安全范式。国际云安全联盟大中华区概括了零信任的五项基本原则为ABCDE: 06 A:Assumenothing不做任何假定B:Believenobody不相信任何人C:Checkeverything随时检查一切D:Defeatdynamicrisks防范动态威胁E:Expectfortheworst做最坏的打算 “零信任”是一种安全战略和思想,其核心理念是“永不信任,始终验证”。SIM(SDP,IAM,MSG)是其三大主流技术。其中,“S”代表的软件定义边界(SoftwareDefinedPerimeter,SDP),由CSA大中华区提出,旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,更加关注南北向流量的安全。2013年,国际云安全联盟CSA开发SDP框架,发布了《软件定义边界(SDP)标准规范V1.0》,为零信任贡献了首个技术解决方案。“I”代表的现代身份管理和访问控制(IdentityandAccessManagement,IAM),通过建立和维护一套全面的数字身份,并提供有效地、安全地IT资源访问的业务流程和管理手段,更加关注南北向流量。“M”代表的微隔离(Microsegmentation,MSG),由Gartner提出,更加关注东西向流量的安全,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务,可以在数据中心内部部署灵活的安全策略。 根据NIST,通用的零信任抽象架构如图3-3所示。 图3-3:零信任抽象参考架构 其中,零信任安全控制中心组件作为NIST的PDP的抽象,零信任安全代理组件作为NIST的PEP的抽象。零信任安全控制中心核心是实现对访问请求的授权决策,以及为决策而开展的身 07 份认证(或中继到已有认证服务)、安全监测、信任评估、策略管理、设备安全管理等功能;零信任安全代理的核心是实现对访问控制决策的执行,以及对访问主体的安全信息采集,对访问请求的转发、拦截等功能。 3.2 零信任产品(三大主流技术SIM) “零信任”作为一种新安全理念,已经成为全球网络安全的关键技术和大趋势。虽然零信任已成为营销热词,但组织更应该相信零信任背后有着实质的内容和价值。零信任是一种战略理念、一种方法和一套指导原则,这也意味遵循零信任基本理念和通用原则的每套零信任架构我们认为满足3.1所述架构和原则的产品都是零信任产品。 目前,海外市场参与者众多,实现路径各有差异。既有谷歌、微软等率先在企业内部实践零信任并推出完整解决方案的业界巨头,有“以身份为中心的零信任方案”的Duo、OKTA、Centrify、PingIdentity,也有偏重于网络实施方式的零信任方案的Cisco、Akamai、Symantec、VM-ware、F5等。海外零信任市场的商业模式较为成熟,安全即服务(SECaaS)为主流交付模式。 国内“零信任”市场刚刚兴起,包括互联网巨头及传统安全厂商,以及网络安全新锐均结合自身业务推出“零信任”产品和解决方案。从目前进入该领域的厂商来看,主要有IAM、SDP、微隔离三个方向。当然,真正的“零信任”远不止于此,“零信任”还在发展中。 驱动企业转向采用零信任架构的因素主要包括: ·合规驱动。近年来,安全形势日益严峻,侵犯个人隐私,攫取、破坏和