数字化时代 零信任安全蓝皮报告 （2021年） 中国信息通信研究院云计算与大数据研究所 腾讯云计算（北京）有限公司 2021年5月 版权声明 本报告版权属于中国信息通信研究院云计算与大数据研究所和腾讯云计算（北京）有限公司共同所有，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明来源。违反上述声明者，中国信息通信研究院云计算与大数据研究所和腾讯云计算（北京）有限公司将追究其相关法律责任。 前 言 近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新的浪潮。数字化在为企业提质降本增效的同时，也为企业IT架构带来新的安全挑战，传统安全防护机制遭遇瓶颈，探索适应企业数字化转型需求的新一代安全体系具有重要意义。 零信任安全理念及架构能够有效应对企业数字化转型过程中的安全痛点，愈发得到行业关注。本蓝皮报告从基本原则、核心组件、关键技术等方面阐明零信任安全理念及架构内涵，分析零信任安全如何解决企业级用户数字化转型中的安全痛点；继而，围绕无界办公、混合云、企业异地分支接入和第三方接入多个通用场景，以及银行、通信等重点行业场景，探究零信任安全作用和优势；最后，分析了未来零信任的发展趋势。 本蓝皮报告的核心观点与重要发现包括： ➢数字化转型浪潮下，企业传统安全架构面临挑战。一是上云、应用架构升级等技术转型带来新的安全风险；二是工作空间和供应链协同的数字化引入更多的安全隐患；三是新零售、物联网等产品服务创新面临多样的安全威胁。➢零信任安全理念打破了网络位置和信任间的默认关系，能够最大限度保证资源被可信访问，提升企业数字化转型中新IT 架构的安全性，基本原则包括：默认一切参与因素不受信，最小权限原则，动态访问控制和授权，持续的安全防护。 ➢零信任安全架构核心包括控制和数据两大平面，以及策略引擎、控制引擎和安全代理三大逻辑组件。控制平面和数据平面将策略与资源访问时的数据交互进行分离；策略引擎、控制引擎和安全代理逻辑组件协作，实现资源访问的信任评估和权限授予，控制访问主体和被访问资源间的连接建立与否。 ➢零信任安全和企业数字化转型相互促进，协同发展。一是零信任安全能够解决企业级用户数字化转型的安全痛点，迎接技术转型中的新安全挑战，满足数字化工作空间中用户更高的体验需求，应对产品服务创新后的海量网络威胁；二是数字化转型为零信任安全应用落地提供支撑，技术转型通过提供资源支持助力零信任高性能发展，制度转型鼓励安全架构向零信任变革。➢零信任安全能够满足企业一些通用场景的安全需要，包括无界办公、混合云、企业异地分支接入、第三方接入等。同时，零信任安全还可以满足不同行业的特殊安全需求，如银行、互联网、通信、物流、能源、地产等行业。 ➢零信任未来发展趋势，一是应用不断成熟，成为安全体系升级的重要选择；二是与原生安全理念相融，助力企业建设高防护性能、组件协同连通的全因子信任安全架构；三是与广 域网络融合，为企业提供端到端安全。 目 录 一、数字化转型不断深入，以信任为核心的安全理念迎来发展机遇 .................... 1 （一）外力与内需共同推进企业数字化转型 ........................................................ 1 1. 国家政策为企业数字化转型创造良好环境 .................................................. 1 2. 用户需求升级驱动企业加速数字化转型 ...................................................... 2 （二）企业数字化转型对传统安全架构带来挑战 ................................................ 4 1. 技术转型面临安全挑战，传统安全架构有局限 .......................................... 4 2. 数字化空间扩展引入新风险，传统安全架构难招架 .................................. 6 3. 产品服务创新带来特性威胁，传统安全难以覆盖 ...................................... 8 （三）以信任为核心的安全理念兴起，弥补传统安全机制缺陷 ........................ 9 二、零信任安全护航企业数字化转型 ...................................................................... 11 （一）零信任安全理念：永不信任，持续验证 .................................................. 11 （二）基于零信任安全理念的逻辑架构 .............................................................. 13 （三）零信任安全与企业数字化转型相互促进与协同发展 .............................. 15 1. 零信任安全解决企业级用户数字化转型安全痛点 .................................... 15 2. 数字化转型为零信任安全应用落地提供支撑 ............................................ 18 （四）关键技术助力零信任安全架构落地应用 .................................................. 18 1. 多源数据信任评估技术实现更可靠的用户授权 ........................................ 19 2. 安全代理关键技术完成访问行为的统一管控 ............................................ 20 3. 网络隔离关键技术保障东西向流量安全 .................................................... 22 4. 身份安全关键技术支持高效用户管理 ........................................................ 23 5. 终端安全关键技术为多样化终端提供全方位防护 .................................... 24 （五）国内零信任发展势头良好，解决方案纷纷落地实施 .............................. 25 三、零信任安全应用场景 .......................................................................................... 26 （一）通用应用场景 .............................................................................................. 26 1. 零信任促进无界办公安全便捷 .................................................................... 26 2. 混合云推动零信任价值进一步发挥 ............................................................ 28 3. 零信任保障企业分支机构安全接入 ............................................................ 29 4. 第三方协作为零信任发展提供机遇 ............................................................ 30 （二）重点行业应用场景 ...................................................................................... 32 1. 零信任迎接银行业金融服务创新中的安全挑战 ........................................ 32 2. 零信任适应互联网业快速发展与迭代需求 ................................................ 34 3. 零信任缓解通信业管理模式痛点 ................................................................ 35 4. 零信任推动物流业数字化赋能安全发展 .................................................... 37 5. 零信任助力能源业应对数字化转型安全风险 ............................................ 39 6. 零信任为地产业探寻第二增长曲线安全护航 ............................................ 41 四、零信任安全趋势 .................................................................................................. 42 （一）零信任应用不断成熟，成为安全体系升级的重要选择 .......................... 42 （二）零信任与原生安全理念融合，助力企业构建全因子信任安全架构 ...... 44 （三）广域网络与零信任结合，实现企业网络边缘安全接入 .......................... 47 附录：行业用户案例 .................................................................................................. 49 （一）某金融机构基于零信任的SDP解决方案 ................................................. 49 （二）某互联网游戏公司零信任解决方案 .......................................................... 50 （三）某电信运营商基于零信任的SDP解决方案 ............................................. 51 （四）某地产平台零信任解决方案 ...................................................................... 51 图 目 录 图1 企业传统安全架构 ............................................................................................. 4 图2 供应链协同 ......................................................................................................... 8 图3 零信任发展历程 ...................................................................................