科技云报道原创。​

如今安全业内言必谈零信任。

根据知名咨询机构Gartner发布的2021年企业网络技术成熟度曲线，零信任已走过了低谷期，进入了稳步爬升的光明期。Gartner曾预测，到2023年，60%企业会逐步淘汰虚拟专用网（VPN）方式，采用零信任网络访问来进行远程方案。

目前，美国政府已经正式开启零信任战略。2021年5月，美国总统签署了行政命令，强制要求政府部门全面迈向零信任架构。在随后的《2022财年预算案》中，美国防部要求拨款6.15亿美元用于与零信任网络安全架构相关的工作。

过去几年，海外已有多家零信任SaaS公司登陆资本市场。其中的龙头企业Okta，股价四年成长超10 倍，市值从2017年上市首日的21亿美元，达到如今的390亿美元。

在国内，零信任广阔的市场前景，吸引了腾讯、阿里、华为等大厂，深信服、奇安信、绿盟科技等安全厂商纷纷布局。

毋庸置疑，作为无边界化趋势下的新安全理念，零信任正在坐上神坛。

被“封神”的零信任有多神？

1994年4月，Stephen Paul Marsh在斯特林大学的计算的安全性博士论文中创造了“零信任”一词。

Marsh的工作是对信任的彻底研究，他认为零信任是一种有限的东西，可以用数学结构来描述，而不是简单的对抗性或纯粹的人类现象。

Marsh推测，在保护计算系统、应用程序和网络方面，零信任胜过不信任。

到了2010年，另一大神John Kindervag创建了Zero Trust Model of Cybersecurity（网络安全零信任模型）。他认为零信任有几个核心概念：

安全设备上不再有可信和不可信的接口
不再有可信和不可信的网络
不再存在可信和不可信的用户
要求信息安全专业人士将所有网络流量视为不可信
信任是一个概念，需要构建一种新的信任模型

可以看到，零信任的目的是通过改变信任模型减少内部人员滥用的诱惑，提高网络犯罪在得逞之前被发现的几率。

11年后的今天，John对零信任进行了反思，并强调：不要把零信任称为产品，也不要试图围绕零信任创建一个标准——“零信任”是一种策略。

Fortinet北亚区首席技术顾问谭杰认为，零信任分为狭义概念和广义概念。

其中，狭义概念叫零信任网络访问（ZTNA），解决的是人、用户、物、设备和终端的信任问题。“由一个控制点控制它怎样对 IT 资源进行访问，授予它什么权限”。

广义概念指 NIST 提出的零信任架构（ZTA），它是基于数据的安全，从各方面采集多种数据，包括网络数据、安全数据、终端数据、身份数据等，利用这些数据做信任的计算和决策，真正动态的判断全网安全态势，最终做好决策后，再交给部署在整个数字架构中各种各样的决策执行点，来决定是否允许此次访问以及能访问到何种程度。

简言之，零信任是一种理念或战略框架，它主要聚焦在用户身份与IT资源之间的互动关系、访问权限上。它通过一种持续的动态评估手段不断分析整个网络访问的安全态势，然后动态的授予访问者权限。

在零信任理念的引导下，安全体系架构由“网络中心化”走向“身份中心化”，其本质诉求是以“人”为中心进行访问控制，在不可信的网络环境中，以身份为核心，基于认证和授权的访问控制管理重构可信的、安全的网络框架，满足异构网络的安全需求，解决因网络环境开放，用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。

因此，与零信任安全架构相关的技术和组件主要包括：设备端安全管理组件（验证设备）、用户的统一身份管理（验证用户）、动态访问控制网关（动态授予最小化权限）、智能安全大脑（持续自适应风险和信任评估），四个功能组件各有分工又互相联动，达到为企业业务安全服务。

值得注意的是，建立零信任环境不仅仅是实现这些单个技术，而是应用这些技术来施行“无法证明可被信任即无法获得权限”的理念。

企业需要从战略上确定哪些技术有助实现这一理念，然后再去买入这些技术。

零信任如何走下神坛？

事实上，当前零信任的市场教育已经告一段落，企业用户最关注的其实是零信任如何落地的问题。

对于大多数企业来说，零信任架构的“落地”时机和方法依然存在诸多疑虑和争议。与敏捷开发类似，零信任也是“条条大道通罗马”，有多种框架和实现路径。

对于不同行业、规模和需求的企业来说，如何理解零信任概念方法，如何选择适合自己的零信任道路，如何提高安全技术和投资的有效性，这正是眼下企业用户最关切的话题。

大家普遍认知上觉得零信任落地太难了，需要有很强的规划驱动和投入决心，这让很多企业用户不免产生疑问：是不是只有像谷歌这样的超大企业才能入局？零信任到底“跟还是不跟”？

总结业界普遍认为零信任落地的难点，主要集中在这样几个方面：

第一，难以找准落地场景。零信任面向的场景主要可以分为两大类，一是用户通过设备对业务资源的访问，用户包括员工、外包、第三方等，接入多样的终端（PC、移动端、IOT等）、应用（Web、客户端）、业务（研发设计、呼叫中心、运维等）等，组合出复杂的场景；二是业务资源之间的调用和交换。这个过程中会涉及到企业各个业务、客户的身份认证系统的对接，不仅认证接口和协议非常繁杂，用户很难厘清零信任与内部已有的多种安全能力以及大量业务的关系，同时对终端与数据的安全防护也带来了极大挑战。

第二，难以改造现有安全体系。这是零信任落地当前面临的最大的挑战，也是许多用户始终无法下决心落地零信任的最大原因。在用户的概念里，零信任是一次对传统网络安全框架的推翻和颠覆，想要实现零信任，必须要从零开始。

第三，成本高、投入大，难以持续管理。既然业界普遍认为零信任是对传统网络安全框架的重构，那就难免会将零信任建设当做是一项非常巨大的工程。

涉及业务杂，管理节点多，运维周期长，需要投入巨大的经济和精力成本进行建设和持续管理，将会给企业造成巨大的负担。

第四，难以评估实施效果和价值。就像安全至今还在想尽办法证明自己的价值一样，零信任也需要面对这样的拷问。

但零信任是一种理念而非技术，难以在落地之前用具体成果来进行评估。

这样一来，作为安全人员，难以证明价值来获取项目资源；作为企业经营者，也无法获得评估来增强自己对零信任的信心，陷入了“跟不跟”的两难境地。

第五，用户的使用习惯要改变。对企业用户来说，实行零信任后，原有的一些工作流程会发生改变，也需要企业花时间去适应这一新模式。

以上这些问题是否真的无法解决呢？

其实对于企业来说，零信任是安全理念战略的终极目标，不能一蹴而就。

首先，零信任的落地不是一次对传统网络安全框架的颠覆，不能刚开始就有大投入，也不是一次性规划，而是从解决自身最重要的问题场景切入，通过踩坑积累经验，后续延展覆盖更多场景。“与原有安全建设的兼容和匹配”才是评估零信任解决方案优劣的重要指标。

其次，零信任落地并没有想象中那么难，也并不是超大企业的专属，难的其实是企业找准场景、定好目标，让零信任与业务充分结合；基于业务场景和现有安全能力进行改造、升级和能力联动。

再次，对于零信任价值的评估，尽管不同的用户对安全价值和业务价值的衡量标准有所差异，但只要遵循“安全价值+业务价值>所需投入”这一基本原则，就能够从两者的差值中评估场景收益，从而证明零信任的价值。

最后，从成本上看，如果将数据泄露的成本考虑在内，企业所需要付出的成本也不会比当前采取的措施代价更加高昂。

除此之外，零信任想要更加顺利地实现落地，不仅需要用户侧对于业务和场景的理解，还需要零信任的解决方案和产品真正逾越过“技术”的大山。

不仅要能够具有先进的技术优势，领先的产品理念，对于用户的场景有更好的理解，对传统的网络安全框架有更便捷的适配，还需要在零信任落地和后续管理的过程中，智能权限、极简运维。用轻量化的方式降低用户的建设和维护成本，用更成熟的能力帮助用户完成新一代网络安全框架的转型。

归根结底，零信任成功落地的前提是“找准落地场景”，“厘清零信任与安全、业务的关系”。

换句话说，零信任的落地必须是以对业务运行产生正向的作用和价值，切实解决问题为目标，零信任的应用需要基于当前的业务场景来实践，找准落地场景是零信任落地的关键，也是出发点。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年，是前沿企业级IT领域Top10媒体。获工信部权威认可，可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

科技云报道：被封神的零信任，如何走下神坛？相关推荐

1. 科技云报道：大小巨头涌入赛道，隐私计算迎来商业落地元年

   科技云报道原创. 近两年来,隐私计算逐渐从小众领域为大众熟知.2021年,隐私计算开始在真实商业场景中全面落地. 据毕马威发布的<2021隐私计算行业研究报告>显示,受到大数据融合应用和隐 ...

2. 科技云报道：中国电子云曹心驰：做成云计算“国家队”该有的样子

   科技云报道原创. 中国云计算市场从来不乏新入局者.在这个市场规模高达千亿级的行业,变革与洗牌交替而行,市场格局永远充满着变数. 2022年,中国电子云自研的超融合和存储两大产品"横空出世&q ...

3. 科技云报道：腾“云”驾“数”，制造业数字化升级进行时

   科技云报道原创. 当前,产业云化已成为市场新热点,越来越多企业通过开展云化管理,加快数字化转型升级步伐. 在众多产业中,制造业无疑是大国经济的支柱产业,当今国际形势日益复杂,各国竞相改造和升级制造业, ...

4. 科技云报道：都想当中国VMware，但用户体验拉平了吗？

   科技云报道原创. 从虚拟化技术诞生至今已有20余年,VMware始终是这个市场的霸主.但在混合云来临的今天,中国用户却有了更多的纠结. 混合云和国产化时代,"中国的VMware们" ...

5. 科技云报道：全面云化时代，企业需要怎样的云安全能力？

   科技云报道原创. 云安全,无论何时提起,其重要性都不容小觑. 根据网络安全机构Sophos的研究,云安全事件正在时刻发生.根据该公司发布的<2021年云安全状况>显示,近四分之三的企业遭受 ...

6. 科技云报道：2022年，产业互联网如何重建安全边界？

   科技云报道原创. 尼葛洛庞帝在<数字化生存>一书中写道,数字不再只和计算机有关,它决定我们的生存 当人类真正进入到数字化时代,数字化浪潮为全球产业发展变革带来了巨大的变化,数据交换已经成为 ...

7. 科技云报道：华为云数据灾备，守护企业的生命线

   科技云报道原创. 未来,所有企业都是在线型企业,小到街边随处可见的零售店铺,大到跨国经营的全球五百强,线上线下的产业融合模式,按下了数字经济发展的"快进键". 数字化时代的企业,既 ...

8. 科技云报道：云原生安全，腾讯产业互联网的底色

   科技云报道原创.​ 距腾讯"930变革"宣布更新战略,已经过去了三年. 三年里,腾讯的推进速度十分明显,纵向深耕垂直行业的云与智慧产业事业群,在智慧零售.智慧医疗.智慧教育.智慧出 ...

9. 科技云报道：AI+Science、元宇宙、仿生机器人……云栖大会带你看到未来的样子

   科技云报道原创. 云电脑.飞行汽车.元宇宙.仿生鱼.外骨骼机械臂.四足机器人--4万平方米的科技展上,1500余款或有趣或新颖的科技成果集中亮相,堪称一场数字科技盛宴.我们在云栖大会上,看到了未来世界 ...

最新文章

1. 穿越传统藩篱，当统计学闯入人工智能“后花园”
2. 埃隆·马斯克：比特币拥有着“极为出色”的结构，而纸质货币终将消失
3. ospf路由 华3_「分析」大型企业中必用的动态路由OSPF
4. Vue.js（17）之 插槽
5. 什么叫内部银团_什么是紫钛晶？紫钛晶是不是天然水晶？
6. python爬虫多进程_Python爬虫技术--基础篇--多进程
7. 前端学习(2902):javascript浏览器的历史
8. php主题怎么增加导航页,教你如何给wordpress主题添加导航栏
9. nacos1.2(1.3)的下载及CentOS7下安装nacos
10. 【Vegas原创】imp/exp导入导出数据
11. 纯新手搭建VS2017+QT5.9.9+QGIS过程中的问题
12. CoreJavaE10V1P3.10 第3章 Java的基本编程结构－3.10 数组（Arrays）
13. 对于PHP面试知识点的小结
14. Shiro - Shiro简介；Shiro与Spring Security区别；Spring Boot集成Shiro
15. 入门北京linux嵌入式培训行吗
16. PHP爬虫的三种方法
17. 认知:设计模式之观察者模式
18. u盘插上显示计算机限制,U盘插到电脑上不显示图标的解决方法(以金士顿8GU盘为例)...
19. Source Insight等宽字体及对齐设置方式
20. [ECCV2018]Generating 3D faces using Convolutional Mesh Autoencoders

热门文章

1. 梯度消失与梯度爆炸解释
2. java cqrs架构_团队开发框架实战—CQRS架构
3. 留守女子在家中身亡 2岁孙女7天无人照顾
4. 技术分享经典 javaScript原型链面试题
5. （八）瑞芯微rk3568中的qplay 例程
6. HDU 1173 采矿
7. SQLServer字符串拆分并获取某分隔符的字符串
8. [201903][Spring Boot 编程思想][核心篇][小马哥][著]
9. 廖雪峰 Python3
10. LINUX下 Udev详解