零信任发展洞察报告(2024年)
AI智能总结
版权声明 本报告版权属于中国通信标准化协会—云计算标准和开源推进委员会和中国信息通信研究院,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国通信标准化协会—云计算标准和开源推进委员会和中国信息通信研究院”。违反上述声明者,中国通信标准化协会与中国信息通信研究院将追究其相关法律责任。 前言 中国信息通信研究院(后简称“中国信通院”)云计算与大数据研究所持续跟踪零信任发展历程,自2021年陆续发布两本所级研究报告:《数字化时代零信任安全蓝皮报告》1和《零信任发展研究报告(2023年)》2,两本年度洞察报告:《零信任发展与评估洞察报告(2021年)》和《零信任发展洞察报告(2022年)》。 2024年将继续发布《零信任发展洞察报告(2024年)》,报告依托中国通信标准化协会云计算标准和开源推进委员会、中国信通院云计算开源产业联盟零信任实验室,对业内40+零信任供应侧企业开展问卷调研,对10+零信任供应侧和应用侧企业开展专题访谈,并对结果进行分析(后简称“调研结果”)。报告主要分为四个章节:第一章概述了零信任理念在跨越认知与实践“鸿沟”中的进展,指出用户正逐渐认识到零信任在应对安全挑战中的重要性;第二章深入分析零信任供应侧的发展情况,包括部署方式、产品能力、落地形式、应用场景和新技术结合等方面的现状与趋势;第三章聚焦零信任应用侧企业的访谈结果,从落地前、中、后三个阶段探讨应用侧企业在实施零信任过程中的感受与经验;第四章展望我国零信任未来发展,期望“零信任+AI”能够持续激发网络安全领域技术创新活力。 致谢 报告撰写工作得到了诸多企业的支持与帮助,在此表达诚挚的感谢!北京蔷薇灵动科技有限公司、河南能睿科技有限公司、天翼安全科技有限公司、奇安信科技集团股份有限公司、中兴通讯股份有限公司、国金证券股份有限公司、腾讯云计算(北京)有限责任公司、贵州白山云科技股份有限公司、北京火山引擎科技有限公司、浪潮云信息技术股份公司、中移(苏州)软件技术有限公司、上海派拉软件股份有限公司、杭州亿格云科技有限公司、数字广东网络建设有限公司、北京芯盾时代科技有限公司、渤海银行股份有限公司、北京九州云腾科技有限公司、天融信科技集团股份有限公司、北京持安科技有限公司、中电鸿信信息科技有限公司、深信服科技股份有限、绿盟科技集团股份有限公司、中国移动通信集团浙江有限公司、网宿科技股份有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司、深圳竹云科技股份有限公司、中国铁塔股份有限公司、北京百度网讯科技有限公司、江苏易安联网络技术有限公司、杭州迪普科技股份有限公司、数篷科技(深圳)有限公司、上海数字安全科技有限公司、杭州默安科技有限公司、深圳市联软科技股份有限公司、北京哈希安全科技有限公司、北京栖安科技有限责任公司、北京指掌易科技有限公司、北京志凌海纳科技股份有限公司、上海安几科技有限公司、深圳市智安网络有限公司 编制人员 吴倩琳吴诗浩侯庆茹孔松郭雪熊瑛王峰王书州赵治博马晋张丽婷侯芳黄施宇茆正华季文东崔双硕刘治平李祖金卢宏旺唐朝 目录 前言................................................................3第一章零信任持续发展.................................................1(一)零信任正跨越鸿沟,解决市场具体问题至关重要......................11.零信任技术跨越“鸿沟”,面临多重挑战需克服.......................12.用户或有意或无意正在使用零信任理念解决安全问题...................3(二)国内外相关政策与标准涌现,驱动产业规范发展......................51.国际零信任政策推动全球网络安全战略加速实施.......................52.国内加大政策推动,多层级标准建立产业规范.........................9第二章零信任供应侧调研观察:稳步发展并持续创新......................15(一)供应侧的零信任能力与生态愈发成熟...............................151.零信任能力供应方向愈发清晰......................................152.零信任产品联动能力呈缓慢进步趋势................................17(二)零信任安全保障能力持续提升,新场景的应用已落地.................191.围绕待保护对象,供应侧持续提升零信任产品能力....................192.零信任在新场景的应用展现独特优势................................22(三)新兴技术相互赋能,为安全提供持续的创新动力.....................241.零信任赋能先进技术强化安全防护手段.................................242.人工智能赋能零信任有效应对更复杂的网络安全威胁.....................25第三章零信任应用侧调研观察:理性选择并期许未来......................27(一)用户更理性选择零信任并制定务实的目标...........................27(二)以体系化防护为核心的平台化零信任获市场青睐.....................29(三)用户落地零信任见效后对使用体验有更多期许.......................31第四章零信任发展展望................................................33 图目录 图12021年与2024年零信任供应侧企业解决方案主要服务的行业对比.........3图2零信任解决方案供应情况...........................................16图3零信任部署形式供应情况...........................................17图4身份安全产品联动情况对比.........................................18图5安全管理产品联动情况对比.........................................19图6零信任供应侧提供服务时的对象选择情况.............................20图7零信任应用环境的用户选择情况.....................................21图8零信任供应侧的跨领域结合情况.....................................22图9零信任供应侧的AI赋能情况........................................26图10用户落地零信任面临的挑战........................................27图11用户选择零信任供应侧企业时的意愿................................30 表目录 表1国外零信任相关政策...............................................6表2国内各省市零信任相关政策........................................10 第一章零信任持续发展 (一)零信任正跨越鸿沟,解决市场具体问题至关重要 1.零信任技术跨越“鸿沟”,面临多重挑战需克服 “跨越鸿沟”理论是杰弗里·摩尔提出的一项技术采纳生命周期模型,该模型描述了新技术或新产品从创新者群体扩散至早期采纳者,并最终进入大众市场的复杂过程。在这一系列阶段中,“鸿沟”阶段尤为重要,它代表了新技术或产品在从早期市场向主流市场过渡时所面临的重大障碍3。目前,零信任正面临着跨越一系列关键“鸿沟”的挑战: 用户认知方面,用户对于零信任的认知不断提高,但是仍有小部分用户认为零信任与VPN之间没有区别。中国信通院调研结果显示,有69.44%的零信任供应侧企业在拓客时感觉用户对零信任的认知变好,无需过多解释零信任能带来的优势,可直接与应用侧企业进行PoC(Proof of Concept,概念验证)或沟通落地事宜。但仍有25%的零信任供应侧企业在拓客时感觉用户对零信任的认知变化不多,仍然需要解释零信任概念、优势等,甚至无法区分VPN与零信任。 资金投入方面,一是预算有限,难以持续投入。零信任的部署是一个渐进式的;过程,有限的预算使得用户在持续投入和扩大零信任建设方面显得力不从心,难以充分满足长期建设和维护的需求。二是零信任替换成本较高,投资回报率不高。许多企业已经建立了较为完善的安全防护体系,替换为零信任意味着需要放弃原有的安全产品或 和已有的安全产品进行集成,不仅会面临技术兼容性和业务连续性等方面的挑战,还会带来额外的成本支出,特别是在高度集成化或自研比例较高的环境中,零信任的实施成本高,回报率未达到预期。 成效评估方面,一是客户侧对零信任的战略认知难在高层达成共识。这主要源于零信任理念的新颖性和实践复杂性,以及不同高层管理者对安全战略和业务目标的认知差异,同时,零信任战略的实施需要跨部门的紧密协作,这也增加了高层达成共识的难度。二是难以验证零信任部署效果。安全体系的构建成效通常考虑四项能力,互联互通、自动化编排、全局管控及快速恢复能力,然而上述四项能力难以得到验证,互联互通要求零信任产品与用户环境的安全系统实现接口与消息的统一;自动化编排要求用户环境具备智能化的安全工具与工作流程;全局管控需要全方位、多层次的监控和管理;快速恢复作为最重要的安全能力,是四项能力中需要优先实现的能力,但该能力的验证需要对技术故障进行模拟,然而故障模拟的构造难度较大。 员工体验方面,一是资源访问产生延迟,流畅度降低。由于零信任架构需要实时、动态地评估用户的身份、设备、位置和行为等因素,这可能导致在访问资源时出现一定的延迟,影响了用户的工作效率和流畅度。二是员工担忧隐私泄露。零信任架构要求持续监控用户的访问行为和设备状态,员工担忧自己的个人信息和隐私被过度收集和使用,从而对零信任产生抵触情绪。 2.用户或有意或不经意正在使用零信任理念解决安全问题 Gartner发布的2024年中国安全技术成熟度曲线显示4,零信任网络访问已进入稳步爬升的中期,与2023年(处于稳步爬升初期)和2022年(处于泡沫破裂低谷期)相比,零信任在中国的应用逐步提升。零信任从概念初现行至今日已有十多年,目标客户也从追求技术方案革新,到以解决问题和风险为导向,期望零信任能够解决具体场景下的业务问题。2024年中国信通院调研了零信任供应侧企业主要服务的行业5,调研结果显示零信任供应侧企业服务最多的行业是信息技术服务业,其次是政府机关和电信业,制造业与金融业并列第四。其中,交通业零信任供应能力增幅较大,2024年近半数零信任供应侧企业能为交通业提供安全服务。此外,调研的样本数量也有增长,表明2024年有更多企业进入零信任赛道。各零信任供应侧企业也在积极拓宽自己服务能力,使用零信任产品解决行业用户安全痛点。 用户并不一定期望其安全架构彻底变为零信任,而是从切实需求出发选择零信任。从广义的实现“零信任”理念方面来看,用户未必一定要使用SDP、增强的IAM、MSG等技术,只要遵循最小权限授权、基于身份授权等原则实现即可,过去很多用户是按照这样的原则规划访问控制、隔离或授权体系。然而,专业的零信任产品所提供的核心能力,可以帮助用户解决过去依靠手工难以解决、无法持续的问题,使得安全体系在零信任的框架下得以运行下去。一是在全面精细可视的基础上,通过零信任策略对脆弱性风险进行最大程度的
