信息技术行业：网络安全先进技术与应用发展系列报告，零信任技术（Zero Trust）

中国信息通信研究院安全研究所 奇安信科技集团股份有限公司 2020年8月网络安全先进技术与应用发展系列报告 零信任技术(Zero Trust)（2020年） 版权声明 本报告版权属于中国信息通信研究院、奇安信科技集团股份有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院、奇安信科技集团股份有限公司”。违反上述声明者，将追究其相关法律责任。 oPpQnNtMtOoOmNnMrNoRtP9P8Q7NpNpPnPqQlOnNzReRmNoMbRmOrQxNsQqNMYmRtQ 前 言 随着全球数字化转型的逐渐深入，在“云大物移智工”等新技术发展支撑下，零信任从原型概念加速演进，成为新一代信息技术安全架构。在过去的2019年，国内零信任从概念走向落地，零信任安全架构以其兼容移动互联网、物联网、5G等新兴应用场景，支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构，受到各界青睐，从产品研制、解决方案到应用试点示范，到逐步探索完善适应不同场景的零信任应用实践。进入2020年以来，在“新基建”和疫情的双重刺激下，零信任作为一种可支撑未来发展的最佳业务安全防护方式，成为我国网络安全界的焦点。 本报告聚焦零信任发展，从技术、产业、应用和实践四个维度进行剖析：技术部分包含零信任安全架构定义和关键技术的最新研究成果；产业部分介绍了国内外产业发展、标准化等方面的最新进展；应用部分汇集远程办公、大数据中心、云计算、物联网和5G应用等核心应用场景的零信任解决方案建议；实践部分聚焦零信任规划与部署，介绍零信任实施经验。最后以零信任建议和展望总结全文，希望通过本书帮助更多的人理解和实践零信任，加快推进零信任创新发展，为以新基建为代表的数字化转型保驾护航。 目 录 一、零信任技术和产业发展现状 ......................................................................... 1 （一）零信任核心原则 ......................................................................................... 2 （二）零信任安全架构及组件 ............................................................................. 4 （三）零信任关键技术 ......................................................................................... 7 （四）国外产业发展及应用规划 ....................................................................... 10 （五）国内零信任概念走向落地 ....................................................................... 12 二、零信任应用场景 ........................................................................................... 14 （一）远程办公 ................................................................................................... 14 （二）大数据中心 ............................................................................................... 18 （三）云计算平台 ............................................................................................... 22 （四）物联网 ....................................................................................................... 26 （五）5G应用 ..................................................................................................... 30 三、零信任实施建议 ........................................................................................... 34 （一）使用范围 ................................................................................................... 34 （二）实施规划 ................................................................................................... 38 （三）技术实现 ................................................................................................... 40 四、零信任思考和展望 ....................................................................................... 46 图 目 录 图1 零信任概念演进历程图 ................................................................................ 2 图2 零信任架构总体框架图 ................................................................................ 4 图3 基于零信任架构的远程办公安全参考架构 .............................................. 18 图4 数据中心内部访问流程示意图 .................................................................. 21 图5 数据中心安全接入区案例示意图 .............................................................. 22 图6 基于零信任架构的云计算平台安全参考架构 .......................................... 26 图7 基于设备指纹的物联边缘网关零信任方案示意图 .................................. 30 图8 零信任实施技术路线示意图 ...................................................................... 41 表 目 录 表1 零信任解决方案市场供应商分析 ............................................................ 11 表2 5G架构下的主要对象 .............................................................................. 31 表3 5G架构下的风险来源 .............................................................................. 31 表4 5G架构下的攻击情况 .............................................................................. 31 表5 5G典型攻击行为案例 .............................................................................. 32 零信任技术（Zero Trust）（2020年） 1 一、零信任技术和产业发展现状 近年来，中 央地方 高度重视新型基础设施建设（简称“新基建”），国家高层会议密集提及新基建，各省积极推动新基建项目集中开工。作为新基建三大领域之一的信息基础设施，成为数字经济的关键乃至整个经济社会的神经中枢，其安全性、敏捷性、稳定性等将对新基建安全发展产生至关重要的影响。因此，在主动拥抱新基建的同时，首先应当系统性地评估网络安全的准备工作是否到位。随着新一代信息技术的快速演进，新技术态势下的网络安全威胁和风险不断涌现、扩散，移动互联网、物联网、工业互联网、车联网等新型应用场景致使物理网络安全边界逐步瓦解，用户、设备、业务、平台等多样化趋势不可阻挡，新场景叠加的安全风险不容忽视。为了应对逐渐复杂的网络环境，一种新的网络安全技术架构—零信任逐步走入公众视野，其创新性的安全思维契合数字基建新技术特点，着力提升信息化系统和网络的整体安全性，受到了广泛关注，并被寄予厚望。 零信任雏形最早源于2004年成立的Jericho Forum1，其成立目的是寻求网络无边界化趋势下的全新安全架构及解决方案。2010年，Forrester2的分析师约翰·金德维格正式提出了“零信任”（Zero Trust）一词3。随着业界对零信任理论和实践的不断完善，零信任从原型概念向主流网络安全技术架构逐步演进，从最初网络层微分段的范畴开 1 Jericho Forum：耶利哥论坛，成立于2004年，公益论坛 2 Forrester：弗雷斯特研究公司，成立于1983年，技术和市场调研公司 3 S. Rose et al., Zero Trust Architecture, National Institute of Standards and Technology (NIST) Draft (2nd) Special Publication 800-207, Gaithersburg, Md., February 2020. Available: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207- draft2.pdf. 零信任技术（Zero Trust）（2020年） 2 始，逐步演变成为覆盖云环境、大数据中心、微服务等众多场景的新一代安全架构。 图1 零信任概念演进历程图 （一）零信任核心原则 《零信任网络：在不可信网络中构建安全系统》一书中，作者使用如下五句话对零信任安全进行了抽象概括：  网络无时无刻不处于危险的环境中。  网络中自始至终存在外部或内部威胁。  网络位置不足以决定网络的可信程度。  所有的设备、用户和网络流量都应当经过 认证和授权。  安全策略必须是动态的，并基于尽可能多的数据源计算而来4。 简而言之，零信任的核心思想是：默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络 4【美】埃文·吉尔曼（Evan Gilman）、道格