2021年零信任产业研究报告

reeBuf咨询2021年零信任产业研究报告ZEROTRUSTINDUSTRYRESEARCHREPORT 云上驱动零信任国内网络信息安全全新成长天花板概述来见解以及深度析企业实践系例；技术部分包合零信任安全架构定义和关链技术的最新研究成果；产业部分介绍了国内外产业发展、标准化等具有代表性企业方面的最新进展应用部分汇集占据较大市场份额，云计弹、大数据、物联网、人工智能等新技术正在持续催生“新安全”需求， 致谢在这里要特别感谢以下给与的帮助和支持（排名不分先局）持安科技持安科技持安科技CEO何艺依遇多年零信任实践经验来若，零信任技术未来如果仅用于SDP菩代VPN场亲CHIANSEC是局限了零信任的皮用场景：将零信任变成基础设施与业务共生和发展，这才是夫来零信任发展的大方向，蔷薇灵动思灵动普灵动CEO严富表示，零信任蛋然缓慢，但是发展的确定性是明确的，脚步也是坚定的。未来两年，在中国的头部用户处，零信任将被普遍研完和使用未来五年里，零信任将得到全面的部署。而在更广阅的的中小企业市场，则还需要更长的培育时间。腾讯安全腾讯安全腾讯安全认为信任代表了新一代的网络安全防护理念；网络位置不再决定访问权限，所有访问主体都需要经过身份认证和授权。导份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别，访问过程中可以根据需要多次发起身份认证。易安联易安联易安联认为零信任的本质是对访问行为的零信任，涉及到人、应用（进程）、没备、环境等各种因素。当Enlink rin前业界比较关注的零信任技术框架，主要包括实体的数字身份管理、信任和风险评估、动态访问控制、安全信息和事件管理以及安全态势分析和可视化等技术方向关于FreeBuf咨询FreeBuf.cOM网络安全行业门户，每日发布专业的安全咨询、技术新，分享国内外安全资源与行业河见，是网络安全从业者与爱好者广泛关注的行业社区平台。FreeBuf咨询集结安全行业经验丰富的安全专家和分新师，常年对信息安全技术，行业动态保持追踪，河悉安全行业现状和超势，呈现专业的研究与咨淘服务。编者阵容出品人：尤文研究摄写：李诗琳没计排版：黄威超 目录DIRECTORY CHAPTER零信任技术校心1 02ONE国外市场1 04零信任技术概述及国内外实现路径国内市场601腾讯安全实践案视剖析1 10CHAPTER国外市场聚焦布局在SECaas模式1 12TWO国内市场任重道远，聚焦全民款字化1 13零信任技术商业模式CHAPTER零信任市场占比1 15THREE需信任市场规类1 16零信任市场规模及增速CHAPTER专家行业展望1 17FOUR蓄热灵动1 18行业展望持安科技1 19易安联1 19CHAPTER零信任市场垃劳短险1 20FIVE享信任核心驱动力1 21趋势预测 CHAPTERONE零信任技术概述及国内外实现路径reeBuf咨询 02reeBuf咨询1.零信任技术概述及国内外实现路径国内整体发展增速，相对国外技术发展更为平级零信任安全(Zero Trust)是在2010年由咨询公司Forrester践。同时业内人主提出实现零信任安全的三大技术为SIM，S的分析师John-kindenvag提出的安全理念，其本质是以身份为SDP(Software Defined Perimeter,软件定义边界)、为IAM为基石的动态访问控制，即以身份为基础，通过动态访问控(identity and Acces5 Management,寻份管理系统)，M为制读大，以细粒衰的应用、接口、数据为核心保护对象，遵循MSG(Micro-Segmentation,的隔离）。国内零信三概念谨着数最小极限原则，构筑端到端的奥份边界。字化信息安全防御旧时代结束，由互联网巨头带领下在2015对于零信任安全理念说，在2017年G0cge基于零信任安全年逐满出现在公可舞白；但相对于国外，整体行业还处于深索的Beyondcorp项目取得成功，验证了零信任安全在大型网阶段，未来有望高速增长。络场景下的可行性，业界也开始限进和开展零信任安全实1.1零信任技术核心零信任的本质是以身份为中心进行动态访问控制作用于应用程序通信的数据平面。访问主体通过控制平面发起访问清求，经由任评估引掌、访问控制引擎实施身份认证及损权，获得许可后系统就态数适平面，访问代理接变来自主体的数据，从而建立一次可信的安全访问链接，在这过程中，信任评估工作，访司担制引擎对评估数活达行零信任策路决策运算，求判断访问控制策略是否需要作出改变，若需要作出改变对，将及时涵过访问代理中断此前连接；以而有效实现对资源的保护。综上所述，可将享信任架构原则归纳为以下五点：一将身份作为访问控制的基础1最小权限原则零信任架构中强调资源按需分配使用，授予的是执行任务所需的最小特权，并限制资源的可见性。【实时计算访问控制策略将重新进行计算，必要时将即时变更授权决策。2 0 2 1零信任产业研充提售 03CHAPTERONE【资源受控安全访问零信任架构对所有业务场量及资源的每一个访间请求都进行温制要份识别和授权判定，符合安全策陷才予以放行，实现会活级另的细业度访问控制，同时所有的访问连要均须图。【基于多源数据进行信任等级持绩评估零信生架构中访问主体的信任等级是根据实时多源数据(如身份、权限、访问日志等)计单得出，人工智能技术提高了信任评估策略的计算效率，实现孕信任架构在安全性、可靠性、可用性及成本方面的综合三衡。其他安全分析平台3±88访问主体信任评估引擎访问客体人员动态访问控制引擎应用设备接口应用功能系统数据可信代理身份安全基础设施零高任蕴构租炎图（男料案界：零信任202研究用告）“SIM"，即SDP（软件定义边界）、IAM（身份与访问管理）、MSG（微隔离）是实现零信任架构的三大关键技术。SIMS为SDPAMM为MSG(SofwareDefinedPerimeter,款件定义边界)(identity and Access Management,身f管t)[Micro-Segmentatian,)零信任源物三人关捷热术（淘科水源：FiBuf含读）1)SDP（软件定义边界前后中文音译不一致）5DP技术是通过款性的方式，在“移动+云”的背景下购津起费拟，则用基于身分的访间控制及完备的权限认证机制提供有效的隐身保护。SDP是出云安全联盟(CSA)开发的一个安全框架，其体系结构主要包括SDP客户端、SDP控制器及SDP网关这二个组件，其零信任产业防究频告2 0 2 1 04-reeBuf咨询中客户端主要负责验证月广身分，将访间请求转发给网关，控制器负责身份认证及配置第路：管控全运程，网关主要保护业务系统，防护各类网络攻击，只允许来自合法客户端的流量通过。SDP可将所有应月程事隐蒙，访问者不知应用的具体位置，同时所有访间流量均通过加密方式传输，并在清间端与被访间端之间点对点传辑，其具备的持续认证、细度的上下文访问控制、信令分高等防御理念可有效解决企业业务拓展中的安全间魅，成为了零信任理态的最佳践行之一。2)IAM(身份与访问管理）全面身份化是零他任架构的基石，零估任所需的IAM技术通过围绕身份、权限、环境等信患进行有效管控与治埋，从而保证正确的身份在正确的访问环境下，基于正当理由访问正确的资源，随着数字化转型约不断深入，业务的云化、终端的激端均使得企业IT环境变得更加复杂，传统静态且封闭的身份与访间问管理机制E不能适应这种变化，因此零信任中的IAM将更加款捷、灵活且智能，需要造应各种新兴的业务场景，能够采月动态的策略实现自主完善，可以不断润整以潜足实际的安全需求。3)MSG(微隔离)微隔高通过细粒度的策略控制，可以灵活始实现业务系统内离方案主要有三种技水路线，分别是云累生性隔离、API对接外部主机与主机的隔离，让东西向流量可视可控，从而更加有微隔离以及主机代理微隔高，其中主机代理隔离更如适应效地防御黑客或病毒持续性人面积的添透破坏，当前微隔新兴支术的不新更送及应用带来的多变的用户业务环境。1.2国外市场熟知，已达到规模化实践零信任应用广泛及重要型已被大部分企业认同，根据咨淘公三训umio的最新全业调查，4%的企业完全部署零信任，其余接近半数的个业还处于试点阶段。不消定实施计划规划完成获得认可尚未扩大范围已经开始实族收集信息%05%10%15%20%25%3C%2 0 2 1零信任产业研充授售 CHAPTER05ONE海外零信任市场入围较多选手，实现路径各显神通谷歌和微软两大巨头率先在企业内部实践零信任并推出完鉴解决方案Duo、OKTA、Centrify、Pingldentity推出以身份为中心的零信任解决方案，*Cisco、Akamai.Symantec.VMware、F5以偏重于网络实施方式的零信任方案。Vidder.Cryptzone.Zsclar.illumio等初创公司。阶段企业名称接求实现路径头部企业GoogleBeyondCorp股部企业OktaIAM初创企业illumioadaptive micro-segmentation生业代费分美（料来费：Freebur）在海外零信任行业中，头部企业以谷歌为例：Beyongcorp是谷欧相式量早实殿的零信任项目。从2014年12月起，谷歌共在(login》杂志上发表了6舜Beyondic.orp相关的论文，全面介绍BeyondCorp的案构和谷歌从2011年至今的实施情况。2017年，Google对外言布其基于多值任架构实践的新一代个业网络安全架构一BeyondCorp项目或功完成，为要管任存大型新型企业网络的实践提供了参考架构。2020年谷歇宣布完成其内部使用的远程安全访司零信任方案BeyondCorp的产品化，并在容款云服务上发布销营，每个用户的月订阅费用是6美元，并且无需成为谷款现有云服务或企业协同工其的用产也可使用该服BeyondCop实现的核心是引入或扩展网终组件，例妇单点暨录，访间代理，访间造制引率，用户清单，设备清兰，安全策路和信任库。这些组件协同二作，以维沪三个指导原则：1）特定的网络连接不得确定用户可以访问服务；2)根据对用户和设备的了解来授予对服务的访问权限；3)所有对服务的访问帮必须经过认证，授权和加密。零信年产业所充频告2 0 2 1 06reeBuf咨询2020年4月Gocgle互布BeyondCorp-Enterprise正式上门，这是容款云基于零信任网络设计原则推出的一项新的安全服务。BeyondCorp Enterprise取代了BeyondCoro RemoteAccess,这是Google在四月份三布的—项云服务,以胞应由于COVID-19大流行以及对虚拟专用网络应用程序的需求增加而进行的远程工作。该股务使员工可以从任何设备和任何位置安全地访问公三的内部Web应月程序。Gcogle在内部已经使用BeyondCorp数年，以保护员工对应用程序、致据和其他用户的访问。Google对抗复杂攻击者的主要武器是Chrome，Chrome有望过它提供简单的无代理支持”。Chrome拥有超过20亿月户，缺具规奠。在BeyondCcrpEriterprise报务下，Chrome的其他主要安全亮点包括威动防控，以防止数据去失和泄露以及从网络剑别览器的恶意款件感染、网络的兰防护、持续受权，月户与应月之间以及应用与其他应用之间的细分和致字证书的曾理。BeyondCorpEnterprise允许管理员实时检查URL并扫措文件中约悉意款牛；创建规则以揭定可以跨站点上传，下载或复制和粘站那些类型的数据，并跟踪公司发布的设备上的恶意下载，并监规员工是否在已知的网络钓鱼站点上输入密码。腰部公司以Okta为例：Okt是一个身份势产管理平台(IAM)，它是身份验证和授权的领导者，它提供安全访司产使用户能够在需信仟环境中安全地使用ldenlilyCloud上运行的产品演示吸引客产。Okla还与多家推动云计算迁移的大型技术公司合作，除了此类台作伙伴之外，Okla还利用他门的渠道合作伙伴，包括系统集成商、传统VAR和政府类VAR，