零信任发展洞察报告（2022.12）

版权声明 本报告版权属于零信任实验室和云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：零信任实验室和云计算开源产业联盟”。违反上述声明者，实验室与联盟将追究其相关法律责任。 前 言 近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新的浪潮。数字化在为企业提质降本增效的同时，也为企业IT架构带来新的安全挑战，传统安全防护机制遭遇瓶颈，探索适应企业数字化转型需求的新一代安全体系具有重要意义。 零信任理念及架构能够有效应对企业数字化转型过程中的安全痛点，愈发得到行业关注。在此背景下，零信任实验室和云计算开源产业联盟继《零信任发展与评估洞察报告（2021年）》后第2次发布报告。报告基于对重点零信任供应侧企业的调研结果，从零信任发展呈现的四点趋势展开，对我国零信任的发展趋势与供应侧的零信任生态进行观察和分析。一是，在未来，零信任与数字身份密不可分，并向统一整个基础设施的策略管理发展。二是，在零信任供应侧方面，梳理了零信任理念所涵盖的六大能力、供应生态概况、金融行业与电信行业在零信任落地方面的表现，包括：落地零信任用户数量、不同类型的零信任产品应用情况、应用场景与环境等。三是，对零信任产品与身份安全产品、终端安全产品，以及安全管理类产品的联动能力进行调研。最后展望我国零信任产业发展，应从提升技术壁垒避免同质化竞争、强化安全产业供应链间合作、持续强化信创改造、细化实施引导、以及深化行业应用五方面开展。 参与编写单位 中国信息通信研究院、北京蔷薇灵动科技有限公司、腾讯云计算（北京）有限责任公司、联通数字科技有限公司、绿盟科技集团股份有限公司、深信服科技股份有限公司、北京持安科技有限公司、北京芯盾时代科技有限公司、成都云山雾隐科技有限公司、中移（苏州）软件技术有限公司、数篷科技（深圳）有限公司、天翼云科技有限公司、上海派拉软件股份有限公司、江苏易安联网络技术有限公司、贵州白山云科技股份有限公司、北京天融信网络安全技术有限公司、奇安信科技集团股份有限公司、网宿科技股份有限公司、新华三集团、北京从云科技有限公司、广东一知安全科技有限公司、深圳竹云科技股份有限公司、北京指掌易科技有限公司、杭州亿格云科技有限公司、ZTE中兴通信、飞天诚信科技股份有限公司、北京栖安科技有限责任公司、山石网科通信技术股份有限公司、苏州云至深技术有限公司、杭州默安科技有限公司、北京国信融信科技产业有限公司、北京哈希安全科技有限公司、深圳市米特信息科技有限公司、广州锦行网络科技有限公司 编制人员 吴倩琳、栗蔚、孔松、郭雪、陈镇东、熊瑛、王丹、邹艳鹏、谌鹏、张慧莹、杨志刚、姚坤、何艺、季文东、曾帅、杨一飞、严益昌、王肖斌、张羽、王鑫渊、刘羽、左奕航、张丽婷、许博文、汤冰洁、赵菁菁、赵培、程君、秦忠鹏、李沂航、史晓婧、王杰、王璐瑶、侯芳、崔石磊、廉秀苓、张建伟、崔芙蓉、张秀岩、宋园园、亚米、黄佳妮 1 目 录 一、 零信任发展备受关注 .................................................... 3 1. 零信任发展呈以下四点趋势 .............................................. 3 1.1 零信任产品形态向大而全的平台化、集成化演进 ............................ 3 1.2 身份管理分层之上与更多安全能力结合 .................................... 3 1.3 身份信息穿透业务访问全程 .............................................. 4 1.4 南北向流量与东西向流量统一纳管 ........................................ 5 2. 零信任相关政策与标准涌现，驱动产业规范发展 ............................ 6 二、 供应侧的零信任能力生态逐渐成熟 ........................................ 9 1. 围绕六大领域能力，建立产品体系 ........................................ 9 2. 零信任能力供应生态丰富 ............................................... 11 3. 持续提升产品联动能力，加快与现有架构融合 ............................. 15 三、 行业应用不断深化，零信任市场步入成长期 ............................... 18 1. 零信任市场近三年呈持续增长态势 ....................................... 18 2. 不同应用场景逐步实现零信任落地 ....................................... 21 四、 我国零信任产业发展展望 ............................................... 23 2 图 目 录 图1 身份信息与各类安全工具的事件信息贯通 ................................ 4 图2 身份信息穿透业务访问全程 ............................................ 5 图3 统一整个基础设施的策略管理 .......................................... 6 图4 我国零信任供应侧发展路径 ........................................... 12 图5 供应侧SaaS化情况 .................................................. 13 图6 供应侧零信任安全能力 ............................................... 14 图7 身份安全产品联动情况 ............................................... 16 图8 安全管理产品联动情况 ............................................... 17 图9 终端安全产品联动情况 ............................................... 18 图10 供应侧企业落地零信任客户数量区间 .................................. 19 图11 微隔离类产品纳管工作负载总数 ...................................... 20 图12 软件定义边界类产品纳管员工总数 .................................... 21 图13 零信任应用环境情况 ................................................ 22 图14 落地零信任使用场景情况 ............................................ 23 表 目 录 表1国外零信任相关政策 ....................................................................................................... 6 表2零信任能力域与能力项 ................................................ 10 3 一、 零信任发展备受关注 1. 零信任发展呈以下四点趋势 1.1 零信任产品形态向大而全的平台化、集成化演进 零信任从为企业解决部分安全问题向解决整体的网络安全问题发展，向架构性的平台前进。一方面，当下企业选择零信任主要解决数据中心网络安全接入的问题，但随着企业云计算使用规模逐步提升，安全边界的粒度逐步细化，安全风险不再以网络分隔出的安全域为维度划分，而是以访问的业务为维度进行划分，仅解决网络安全接入并不能满足业务安全需求，需要贴合业务的身份以解决业务访问全链路的风险，从而缓解整个企业网络的安全问题。另一方面，安全本身在企业中是一种横向的能力，集成的、聚合的安全能力可形成平台化的、中台化的产物，基于零信任理念的架构性平台可在身份安全、终端安全、数据安全、网络环境安全、工作负载安全等方面提供全方位的防护。 1.2 身份管理分层之上与更多安全能力结合 零信任是为了应对基础设施的变化、为了应对无边界化后网络安全威胁而出现的手段，零信任基于访问主体身份为访问过程提供全链路的安全保障，如图1所示。一是建立身份管理分层。零信任在逻辑上建立了一张基于身份的网络，赋予人、设备、工作负载等实体唯一身份标识，基于身份对访问主体进行动态访问控制。二是在身份管理分层之上建立安全管理分层，将更多的安全能力进行编排。传统安全 4 工具缺乏访问主体身份识别能力，如防火墙仅能识别访问主体IP，然而IP并非访问主体唯一身份标识，因此诸如防火墙一类的传统安全工具无法确定访问主体身份。零信任架构下将传统安全能力与身份管理分层共同编排，通过编排链共享身份信息，实现基于身份的安全管理分层，以针对访问过程实现动态访问控制。 来源：中国信息通信研究院 2022年12月 图1 身份信息与各类安全工具的事件信息贯通 1.3 身份信息穿透业务访问全程 通过应用改造实现身份信息“穿透”业务访问全程。如图2所示，当下应用访问过程中的身份调用是中断的，例如当用户通过零信任网关访问某应用时，前端应用可以识别访问主体的身份，当应用调用后端数据库时，会建立新的会话连接，数据库视角所见是应用在进行服务调用，此时访问过程中的身份调用已中断。零信任架构下，应用应携带访问主体的身份信息对数据库发起访问，数据库的策略决策点将基于身份进行权限和执行策略的判定，默认不信任前端应用。诸如前端应用、后端数据库等检控点都应具备策略执行能力，因此需要对应用进行改造以实现身份信息穿透业务访问全程。 5 来源：中国信息通信研究院 2022年12月 图2 身份信息穿透业务访问全程 1.4 南北向流量与东西向流量统一纳管 统一整个基础设施的策略管理，弥补零信任网络访问与微隔离在物理拼接后留下的防护断层。如图3所示，物理式拼接易留下潜在安全威胁，例如业务通过零信任网关对外暴露时，Web服务对外暴露，但后端数据库不对外暴露，所有从外部访问Web的流量受零信任网关上相应策略的管控，此处需设计一套面向南北向流量的管控策略；Web服务与后端数据库通过微隔离进行网络微分段，数据库工作负载需设置限制，仅允许从Web服务过来的流量通行，此处需设计一套面向东西向流量的策略。一旦任意工作负载发生变化，两套策略需要同时修改，否则将留下防护断层，为解决上述问题，可统一基础设施的流量策略，通过使用一套策略对全网流量进行管理。 6 来源：中国信息通信研究院 2022年12月 图3 统一整个基础设施的策略管理 2. 零信任相关政策与标准涌现，驱动产业规范发展 随着零信任落地及商业模式走向成熟，零信任已逐渐成为政府与企业数字化转型的安全首选战略，各国在近五年都出台了零信任相关政策，以加快零信任部署落地，为数字经济快速发展护航。 以美国为首的发达国家高度重视零信任能力建设。如表1所示，自2019年起，美国陆续发布零信任指导建议、计划等推动零信任在美落地，其他发达国家也纷纷在零信任领域展开布局，以强化网络空间话语权。2022年11月22日，美国国防部发布了 《国防部零信任战略》和《国防部零信任能力执行路线图》，计划在2027年之前实施战略和相关路