《中国通信标准化协会&中国信通院:零信任发展洞察报告(2024年)(42页).pdf》由会员分享,可在线阅读,更多相关《中国通信标准化协会&中国信通院:零信任发展洞察报告(2024年)(42页).pdf(42页珍藏版)》请在三个皮匠报告上搜索。
1、 版权声明 本报告版权属于中国通信标准化协会云计算标准和开源推进委员会和中国信息通信研究院,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国通信标准化协会云计算标准和开源推进委员会和中国信息通信研究院”。违反上述声明者,中国通信标准化协会与中国信息通信研究院将追究其相关法律责任。前 言 中国信息通信研究院(后简称“中国信通院”)云计算与大数据研究所持续跟踪零信任发展历程,自 2021 年陆续发布两本所级研究报告:数字化时代零信任安全蓝皮报告1和 零信任发展研究报告(2023年)2,两本年度洞察报告:零信任发展与评估洞察报告(2021 年)和零信任发展洞察报告(
2、2022 年)。2024 年将继续发布零信任发展洞察报告(2024 年),报告依托中国通信标准化协会云计算标准和开源推进委员会、中国信通院云计算开源产业联盟零信任实验室,对业内 40+零信任供应侧企业开展问卷调研,对 10+零信任供应侧和应用侧企业开展专题访谈,并对结果进行分析(后简称“调研结果”)。报告主要分为四个章节:第一章概述了零信任理念在跨越认知与实践“鸿沟”中的进展,指出用户正逐渐认识到零信任在应对安全挑战中的重要性;第二章深入分析零信任供应侧的发展情况,包括部署方式、产品能力、落地形式、应用场景和新技术结合等方面的现状与趋势;第三章聚焦零信任应用侧企业的访谈结果,从落地前、中、后三
3、个阶段探讨应用侧企业在实施零信任过程中的感受与经验;第四章展望我国零信任未来发展,期望“零信任+AI”能够持续激发网络安全领域技术创新活力。1 http:/ 2 http:/ 致致 谢谢 报告撰写工作得到了诸多企业的支持与帮助,在此表达诚挚的感谢!北京蔷薇灵动科技有限公司、河南能睿科技有限公司、天翼安全科技有限公司、奇安信科技集团股份有限公司、中兴通讯股份有限公司、国金证券股份有限公司、腾讯云计算(北京)有限责任公司、贵州白山云科技股份有限公司、北京火山引擎科技有限公司、浪潮云信息技术股份公司、中移(苏州)软件技术有限公司、上海派拉软件股份有限公司、杭州亿格云科技有限公司、数字广东网络建设有限
4、公司、北京芯盾时代科技有限公司、渤海银行股份有限公司、北京九州云腾科技有限公司、天融信科技集团股份有限公司、北京持安科技有限公司、中电鸿信信息科技有限公司、深信服科技股份有限、绿盟科技集团股份有限公司、中国移动通信集团浙江有限公司、网宿科技股份有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司、深圳竹云科技股份有限公司、中国铁塔股份有限公司、北京百度网讯科技有限公司、江苏易安联网络技术有限公司、杭州迪普科技股份有限公司、数篷科技(深圳)有限公司、上海数字安全科技有限公司、杭州默安科技有限公司、深圳市联软科技股份有限公司、北京哈希安全科技有限公司、北京栖安科技有限责任公司、北京指掌易
5、科技有限公司、北京志凌海纳科技股份有限公司、上海安几科技有限公司、深圳市智安网络有限公司 编制人员编制人员 吴倩琳 吴诗浩 侯庆茹 孔松 郭雪 熊瑛 王峰 王书州 赵治博 马晋 张丽婷 侯芳 黄施宇 茆正华 季文东 崔双硕 刘治平 李祖金 卢宏旺 唐朝 目 录 前 言.3 第一章 零信任持续发展.1(一)零信任正跨越鸿沟,解决市场具体问题至关重要.1 1.零信任技术跨越“鸿沟”,面临多重挑战需克服.1 2.用户或有意或无意正在使用零信任理念解决安全问题.3(二)国内外相关政策与标准涌现,驱动产业规范发展.5 1.国际零信任政策推动全球网络安全战略加速实施.5 2.国内加大政策推动,多层级标准建
6、立产业规范.9 第二章 零信任供应侧调研观察:稳步发展并持续创新.15(一)供应侧的零信任能力与生态愈发成熟.15 1.零信任能力供应方向愈发清晰.15 2.零信任产品联动能力呈缓慢进步趋势.17(二)零信任安全保障能力持续提升,新场景的应用已落地.19 1.围绕待保护对象,供应侧持续提升零信任产品能力.19 2.零信任在新场景的应用展现独特优势.22(三)新兴技术相互赋能,为安全提供持续的创新动力.24 1.零信任赋能先进技术强化安全防护手段.24 2.人工智能赋能零信任有效应对更复杂的网络安全威胁.25 第三章 零信任应用侧调研观察:理性选择并期许未来.27(一)用户更理性选择零信任并制定
7、务实的目标.27(二)以体系化防护为核心的平台化零信任获市场青睐.29(三)用户落地零信任见效后对使用体验有更多期许.31 第四章 零信任发展展望.33 图图 目目 录录 图 1 2021 年与 2024 年零信任供应侧企业解决方案主要服务的行业对比.3 图 2 零信任解决方案供应情况.16 图 3 零信任部署形式供应情况.17 图 4 身份安全产品联动情况对比.18 图 5 安全管理产品联动情况对比.19 图 6 零信任供应侧提供服务时的对象选择情况.20 图 7 零信任应用环境的用户选择情况.21 图 8 零信任供应侧的跨领域结合情况.22 图 9 零信任供应侧的 AI 赋能情况.26 图
8、 10 用户落地零信任面临的挑战.27 图 11 用户选择零信任供应侧企业时的意愿.30 表表 目目 录录 表 1 国外零信任相关政策.6 表 2 国内各省市零信任相关政策.10 1 第一章 零信任持续发展(一)零信任正跨越鸿沟,解决市场具体问题至关重要 1.零信任技术跨越“鸿沟”,面临多重挑战需克服“跨越鸿沟”理论是杰弗里摩尔提出的一项技术采纳生命周期模型,该模型描述了新技术或新产品从创新者群体扩散至早期采纳者,并最终进入大众市场的复杂过程。在这一系列阶段中,“鸿沟”阶段尤为重要,它代表了新技术或产品在从早期市场向主流市场过渡时所面临的重大障碍3。目前,零信任正面临着跨越一系列关键“鸿沟”的
9、挑战:用户认知方面,用户对于零信任的认知不断提高,但是仍有小部分用户认为零信任与 VPN 之间没有区别。中国信通院调研结果显示,有 69.44%的零信任供应侧企业在拓客时感觉用户对零信任的认知变好,无需过多解释零信任能带来的优势,可直接与应用侧企业进行PoC(Proof of Concept,概念验证)或沟通落地事宜。但仍有 25%的零信任供应侧企业在拓客时感觉用户对零信任的认知变化不多,仍然需要解释零信任概念、优势等,甚至无法区分 VPN 与零信任。资金投入方面,一是预算有限,难以持续投入。零信任的部署是一个渐进式的;过程,有限的预算使得用户在持续投入和扩大零信任建设方面显得力不从心,难以充
10、分满足长期建设和维护的需求。二是零信任替换成本较高,投资回报率不高。许多企业已经建立了较为完善的安全防护体系,替换为零信任意味着需要放弃原有的安全产品或 3 跨越鸿沟,杰弗里摩尔,2009 年出版 2 和已有的安全产品进行集成,不仅会面临技术兼容性和业务连续性等方面的挑战,还会带来额外的成本支出,特别是在高度集成化或自研比例较高的环境中,零信任的实施成本高,回报率未达到预期。成效评估方面,一是客户侧对零信任的战略认知难在高层达成共识。这主要源于零信任理念的新颖性和实践复杂性,以及不同高层管理者对安全战略和业务目标的认知差异,同时,零信任战略的实施需要跨部门的紧密协作,这也增加了高层达成共识的难
11、度。二是难以验证零信任部署效果。安全体系的构建成效通常考虑四项能力,互联互通、自动化编排、全局管控及快速恢复能力,然而上述四项能力难以得到验证,互联互通要求零信任产品与用户环境的安全系统实现接口与消息的统一;自动化编排要求用户环境具备智能化的安全工具与工作流程;全局管控需要全方位、多层次的监控和管理;快速恢复作为最重要的安全能力,是四项能力中需要优先实现的能力,但该能力的验证需要对技术故障进行模拟,然而故障模拟的构造难度较大。员工体验方面,一是资源访问产生延迟,流畅度降低。由于零信任架构需要实时、动态地评估用户的身份、设备、位置和行为等因素,这可能导致在访问资源时出现一定的延迟,影响了用户的工
12、作效率和流畅度。二是员工担忧隐私泄露。零信任架构要求持续监控用户的访问行为和设备状态,员工担忧自己的个人信息和隐私被过度收集和使用,从而对零信任产生抵触情绪。3 2.用户或有意或不经意正在使用零信任理念解决安全问题 Gartner 发布的 2024 年中国安全技术成熟度曲线显示4,零信任网络访问已进入稳步爬升的中期,与 2023 年(处于稳步爬升初期)和2022年(处于泡沫破裂低谷期)相比,零信任在中国的应用逐步提升。零信任从概念初现行至今日已有十多年,目标客户也从追求技术方案革新,到以解决问题和风险为导向,期望零信任能够解决具体场景下的业务问题。2024 年中国信通院调研了零信任供应侧企业主
13、要服务的行业5,调研结果显示零信任供应侧企业服务最多的行业是信息技术服务业,其次是政府机关和电信业,制造业与金融业并列第四。其中,交通业零信任供应能力增幅较大,2024 年近半数零信任供应侧企业能为交通业提供安全服务。此外,调研的样本数量也有增长,表明2024 年有更多企业进入零信任赛道。各零信任供应侧企业也在积极拓宽自己服务能力,使用零信任产品解决行业用户安全痛点。来源:中国信通院 图 1 2021 年与 2024 年零信任供应侧企业解决方案主要服务的行业对比 4Gartner 发布 2024 年中国安全技术成熟度曲线,2024 年 10 月 5 2021 年未统计电信业和医疗业,故 202
14、1 年数据缺失 4 用户并不一定期望其安全架构彻底变为零信任,而是从切实需求出发选择零信任。从广义的实现“零信任”理念方面来看,用户未必一定要使用 SDP、增强的 IAM、MSG 等技术,只要遵循最小权限授权、基于身份授权等原则实现即可,过去很多用户是按照这样的原则规划访问控制、隔离或授权体系。然而,专业的零信任产品所提供的核心能力,可以帮助用户解决过去依靠手工难以解决、无法持续的问题,使得安全体系在零信任的框架下得以运行下去。一是在全面精细可视的基础上,通过零信任策略对脆弱性风险进行最大程度的缓解。银行业受业务运行限制漏洞无法全量修补,高危端口无法尽数封禁,解决办法是使用白名单网络策略限制“
15、带洞运行”资产的访问,需要零信任“可视化”能力的辅助,微隔离可以提供细粒度的连接信息和访问控制,令用户可以在“近源”6、“近站”7侧全面、精准的学习流量、最小权限地控制流量,辅助用户生成收敛漏洞攻击面的最小权限策略。二是解决动态的边界防护需求。能源央企核心业务系统与其他业务系统混部部署,初时,上百个工作负载手动下发主机防火墙策略,然而在弹性需求增多的当下并不适用,弹性扩容的环境中,零信任可以“基于业务属性标识资产身份”,基于资产的身份自动将拉起后的工作负载动态的划入至其应属的防护边界内部。三是解决策略统一管理需求。制造业企业工控上位机(生产线上控制机械臂的电脑)被勒索后导致全面停工,初期通过手
16、工定义策略的方式下发黑名单策略封禁端口,后期为了追求更佳效果,8 人团队耗费 18 个月将黑名 6 近源表示靠近流量出访的源工作负载 7 近站表示靠近流量入访的目的工作负载 5 单转换为白名单模式,然而后续的人力、精力无法支撑。而零信任的策略决策点能够批量、自动编排多个策略执行点上的策略,从而提升运维效率,确保安全策略可落地、可持续。(二)国内外相关政策与标准涌现,驱动产业规范发展 面对不断演变的网络安全形势和业务需求,零信任在政策的推动、市场的引导以及厂商的积极实践下,不断拓宽应用边界,释放出独有的价值,为数字经济的发展提供安全保障,为企业的数字化转型保驾护航。1.国际零信任政策推动全球网络
17、安全战略加速实施 全球加速布局零信任安全战略,推动网络安全领域深刻变革。如表 1 所示,自 2019 年起,美国陆续发布零信任指导建议、计划等推动零信任在美落地,其他国家也纷纷在零信任领域展开布局,提升各自的网络安全防护能力。美国方面,近两年,美国在零信任战略的实施上取得了显著进展,2023 年 2 月 7 日,DoD(美国国防部)发布了第五版国防部网络安全参考架构(CSRA),制定了与国防部零信任战略密切相关的新目标;2024 年 6 月 4 日,DoD 发布了国防部零信任覆盖文件,是 DoD 为实现零信任战略而发布的重要指导文件,该文件首次对 DoD 在国防企业范围内实施零信任的方式进行了
18、标准化,全面描述了实施路径、控制措施以及预期成果,规定实施零信任控制的分阶段方法,并指导系统架构师和授权官员开展零信任差距分析;2024 年 10 月 31 日,美国联邦政府发布了联邦零信任数据安全指南,该指南强调以保护数据本身为中心,而非保护数据6 边界,汇集了 30 多个联邦机构和部门的数据和安全专家的意见,提供了零信任数据安全原则,并给出了实施指导和风险管理方法,旨在帮助联邦机构保护其敏感数据资产,并降低数据泄露和其他安全事件的风险。欧盟方面,2023 年 1 月 13 日,关于在欧盟全境实现高度统一网络安全措施的指令(NIS 2 指令)正式生效,指令中提出所有关键实体应实施零信任安全模
19、型,包括身份验证、授权和访问控制等措施,并制定了执法和制裁措施。英国方面,2023 年 2 月,NCSC(英国国家网络安全中心)发布了零信任:构建混合资产指南 1.0,为解决零信任不兼容问题提出建构一种新的“混合资产架构”,通过零信任代理和托管虚拟专用网络两种方法实现其访问,保持整个系统的零信任安全优势。澳大利亚方面,2023 年 10 月,澳大利亚政府发布2023-2030 年网络安全战略,将零信任作为网络安全的核心战略,保护政府数据和数字资产。上述举措体现了各实体正通过政策引导和技术实践,加速推进零信任的应用,以应对日益复杂的网络安全挑战。表 1 国外零信任相关政策 时间时间 政策发布政策
20、发布来源来源 名称名称 侧重点侧重点 美国 2019.04 ACT-IAC(美国技术委员会-工业咨询委员会)零信任网络安全当前趋势 对政府机构采用零信任进行评估 2019.07 DIB(美国国防创新委员会)零信任安全之路 指导国防部实施零信任架构 2019.07 DISA(美国国防信息系统局)DISA 战略计划 2019-2022 明确 DISA 网络防御战略重点为零信任 7 2019.10 DIB 零信任架构(ZTA)建议 建议将零信任实施列为最高优先事项 2021.02 DISA 国防部零信任参考结构1.0 建议 DoD 下一代网络安全架构基于零信任建设 2021.02 NSA(美国国家安
21、全局)拥抱零信任安全模型 提出渐进式部署零信任方式 2021.05 美国总统拜登 14028 号行政令 发动联邦政府迁移上云使用零信任架构 2021.09 OMB(联邦政府管理和预算办公室)美国政府向零信任网络安全原则的迁移(征求意见稿)要求各机构在 2024 年前实现具体的零信任安全目标 2021.09 CISA(网络安全和基础设施安全局)零信任成熟度模型(征求意见稿)细化五个“具体的零信任安全目标”2021.09 CISA 云安全技术参考架构(征求意见稿)推荐采用零信任辅助迁移上云 2022.11 DoD 国防部零信任战略、国防部零信任能力执行路线图 概述国防部计划如何在 2027 年前在
22、国防部范围全面实施零信任网络安全框架 2023.02 DoD 第五版国防部网络安全参考架构(CSRA)制定了与国防部零信任战略密切相关的新目标 2023.04 CISA 零信任成熟度模型(第二版)降低美国机构实施零信任的壁垒 2024.06 DoD 国防部零信任覆盖 将整个美国防部实施零 信 任 的 方 式 标 准化,同时指导系统架8 构师和授权官员开展零信任差距分析 2024.10 美国联邦政府 联邦零信任数据安全指南 该指南强调以保护数据本身为中心,而非保护数据边界,汇集了 30 多个联邦机构和部门的数据和安全专家的意见,提供了零信任数据安全原则,并给出了实施指导和风险管理方法,旨在帮助联
23、邦机构保护其敏感数据资产,并降低数据泄露和其他安全事件的风险 欧盟 2023.01 欧洲议会和欧盟理事会 关于在欧盟全境实现高度统一网络安全措施的指令(NIS 2 指令)指令中提出所有关键实体应实施零信任安全模型,包括身份验证、授权和访问控制等措施,并制定了执法和制裁措施 英国 2020.10 NCSC(英国国家网络安全中心)零信任架构设计原则 积极响应美国零信任战略,为政企机构实施零信任提供参考 2023.2 NCSC 零信任:构建混合资产指南 1.0 为解决零信任不兼容问题提出建构一种新的“混合资产架构”,9 通过零信任代理和托管 虚 拟 专 用 网 络(VPN)两种方法实现其访问,同时保
24、持整个系统零信任的安全优势 澳大利亚 2023.10 澳大利亚政府 2023-2030 年网络安全战略 将零信任作为网络安全的核心战略,保护政府数据和数字资产 加拿大 2021.03 加拿大政府部门机构-共享服务部 网络与安全战略 采用零信任等新方法支撑未来网络服务 新加坡 2021.10 新加坡政府 网络安全战略 2021 要求相关机构实现从边界防护向零信任安全模式转变 2.国内加大政策推动,多层级标准建立产业规范 国家政策支持为零信任发展提供方向指引。目前我国正在从政策层面积极地推动零信任技术的发展与应用,通过发布一系列指导意见,加快相关标准的研制,为零信任技术的普及与深化提供了坚实的政策
25、保障与支持,具体表现为:标准推动方面,2024 年 5 月 17 日,中央网信办、公安部、交通运输部、应急管理部等 10 部门联合印发关于实施公共安全标准化筑底工程的指导意见,提出针对新技术新应用带来的风险挑战和具体问题,加快研制人工智能安全、云安全技术、10 安全可信认证、区块链共识机制、零信任等标准。技术创新方面,2024年 9 月 27 日,国家数据局发布关于促进数据产业高质量发展的指导意见(征求意见稿),提出在数据安全方面,要加强多因子身份认证、端到端加密、零信任安全等技术创新,发展数据安全监测预警、数据合规检测、人工智能数据安全等服务业态。多省份将零信任技术视为数字建设的关键,用以强
26、化数据安全防护。据不完全统计,近年来我国各省市在数字建设与发展规划中均强调零信任安全技术的运用,如表 2 所示。一是强化关键领域数据安全,从北京市的智慧城市行动纲要,到山东省、湖南省、辽宁省等多地的数字发展规划,均明确提出探索或应用零信任机制以增强数据安全与网络防护,各地政策不仅强调探索零信任安全机制,还积极推动其在金融、政务、工业互联网等关键领域的部署应用。二是提升数据安全防护效能,福建省、河南省等地区计划建设基于零信任的数字身份与访问管理安全设施,并积极推动这一新技术在各业务场景中的实际应用,通过持续的技术优化和场景适配,不断提升数据安全防护的效能与智能化水平。零信任安全技术已成为我国数字
27、建设的重要一环,对保障数据安全、提升网络防护能力起到了关键作用。表 2 国内各省市零信任相关政策 时间时间 政策发政策发布省市布省市 名称名称 侧重点侧重点 2021.03 北京市 北京市“十四五”时期智慧城市发展行动纲要 建立健全与智慧城市发展相匹配的数据安全治理体系,探索构建零信任框架下的数据访问安全机制。强化对数据专区的安全管控,在深化数据融合应用的同时保障数据安全。11 2021.08 山东省 山东省“十四五”数字强省建设规划 积极探索可信计算、拟态防御、零信任安全等网络安全新理念、新架构,加强服务模式升级,加强产品应用推广,推动先进适用网络安全技术产品在金融、能源、通信、交通、政务等
28、重要领域的部署应用,打造网络安全融合创新产业。2021.09 湖南省 湖南省“十四五”信息化发展规划 推动网络安全产品研发升级及新技术应用推广。开展面向移动互联网、政务、车联网等场景的网络安全风险监测分析,推动资产识别、漏洞挖掘、边界防护等领域网络安全产品研发迭代升级,推广零信任体系、软件定义边界、用户行为异常分析等新技术。2021.10 辽宁省 数字辽宁发展规划(2.0 版)发展拟态安全防御系统、数据库安全、终端安全等信 息安全基础和应用产品。打造网络安全软件产业园区,建 设省级网络安全产业基地,创建国内首个船联网安全创新-28 中心,建设工业互联网安全创新中心、大数据安全协同应 用创新中心
29、,组建大数据安全协同应用创新实验室和零信任工程应用实验室。2021.11 江苏省 江苏省“十四五”制造业高质量发展规划 面向网络安全事前防护、事中监测、事后处置、调查取证等环节,着力提升隐患排查、态势感知、追踪溯源、应急处置等安全软件技术水平,加强针对安全生产、工业控制、工业互联网、5G、下一代互联网、云计算、大数据、人工12 智能、物联网等领域网络安全软件研发,积极探索拟态防御、可信计算、零信任、安全智能编排等网络安全新技术,打造全方位覆盖的信息安全软件防护体系。2021.12 广 西 壮族 自 治区 数字广西发展“十四五”规划 按照“统一标准、分步实施,统分结合、协同防御,全面合规、管控风
30、险,确保底线、提升能力”的基本原则,运用人工智能、零信任、云安全、大数据安全等技术,通过重构安全技术和安全管理两大体系,建设广西数字政府一体安全平台,为广西数字政府建设提供安全底座支撑能力。2022.01 河南省 河南省“十四五”战略性新兴产业和未来产业发展规划 支持郑州建设省信息安全产业示范基地,创建国家网络安全产业园,突破拟态防御、可信计算、零信任等关键技术,重点加强云计算、工业互联网、物联网、车联网等新兴领域信息安全产品和服务研发。2022.08 北京市 北京城市副中心元宇宙创新发展 行 动 计 划(20222024 年)加快安全芯片、零信任网络、可信计算、量子通信等技术的研发和产业化,
31、提升覆盖云、网、端的数据安全服务与保障能力。2022.08 上海市 2022 年长宁区“一网统管”工作要点 完善安全运营管理模式,实现 API 接口风险动态监测、“零信任”用户访问及数据调阅留痕追溯、网状系统持续平稳运行监测、上线应用安测软测等保管控、舆情感知动态预警预报等,明确各方安全管理责任边界。13 2022.12 云南省 迪庆州“十四五”电子政务发展规划 健全政务外网终端一机两用安全管理体系,采用统一管控模式构建安全管理框架,为终端部署零信任客户端软件,通过多网切换功能选择访问互联网还是迪庆州电子政务外网,实现互联网与迪庆州电子政务外网的网络隔离。2023.01 福建省 福建省数字政府
32、改革和建设总体方案 建立基于零信任理念的数字身份与访问管理安全服务设施,以身份数字、信任评估、动态访问控制为基石,建设数字政府身份与权限管理体系。依托国产自主可控的软硬件,加强终端自主安全可控,加快推进零信任、安全访问服务边缘等新技术在各业务场景的应用试点与落地,推动云、网、端安全联动和闭环管理,夯实政务网络安全基础。2023.11 山东省 山东省数字基础设施建设行动方 案(2024-2025 年)面向政务、金融、通信等重点领域,推动数据灾备全覆盖,积极探索拟态防 御、可信计算、零信任安全等网络安全新理念、新架构,健全安 全威胁监测、态势感知、信息通报、处置溯源闭环协同管理机制,筑牢关键基础设
33、施安全保障底线。2024.01 山西省 山西省数字政府建设规划(2023-2025 年)建立跨网数据传输机制,依托“零信任”技术,对接入电子政务外网的终端进行有效的安全准入控制、数据隔离和终端安全基础防护,实现政务部门终端设备在电子政务外网公共服务域14 与互联网之间切换。我国已从多层级启动零信任标准研究,协助建立产业规范。为落实国家网络信息安全相关要求,我国已从多层级开展零信任标准研究。国家标准方面,我国网络安全领域首个规范零信任理念的国家标准GB/T 43696-2024网络安全技术 零信任参考体系架构,2024 年 11月 1 日正式施行。行业标准方面,一是由中华人民共和国工业和信息化部
34、发布的行业标准零信任安全技术参考框架、面向云计算的零信任体系 第 1 部分:总体架构、面向云计算的零信任体系 第2 部分:关键能力要求、面向云计算的零信任体系 第 3 部分:安全访问服务边缘能力要求 和 面向云计算的零信任体系 第 6 部分:数字身份安全能力要求均以开始实施。二是中国通信标准化协会正在开展面向云计算的零信任成熟度评价模型标准的研究工作。15 第二章 零信任供应侧调研观察:稳步发展并持续创新 本章依据对零信任供应侧企业的调研与访谈,从发展状况出发,探讨零信任技术在市场中的实践形态与能力演变,分析零信任部署方式的多样化、产品能力的丰富性,以及在跨领域场景下的零信任应用,并对零信任与
35、新兴技术的如何相互赋能展开讨论。(一)供应侧的零信任能力与生态愈发成熟 1.零信任能力供应方向愈发清晰 零信任围绕南北向流量和东西向流量开展防护。本报告调研了零信任供应侧企业提供的解决方案情况,调研结果如图 2 所示,16.7%的零信任供应侧企业可提供微隔离,94.4%的企业可提供 ZTNA(Zero Trust Network Access,零信任网络接入),55.6%的企业可提供 ZTAA(Zero Trust Application Access,零信任应用接入),38.9%的企业可以提供增强型 IAM(Identity and Access Management,身份和访问管理),其中
36、零信任对网络流量的安全防护可以分为南北向防护和东西向防护两类。南北向流量防护方面,ZTNA 提供网络级别的访问控制,主要面向四层流量提供防护,通过身份认证的访问主体可以访问所有网络资源;ZTAA 提供应用级别的访问控制,主要面向七层流量提供防护,单独考虑应用的每个访问请求,提供了更细粒度的可见性控制。东西向流量防护方面,微隔离通过将网络环境划分为逻辑层面的微小分段,并实施细粒度的安全策略,基于企业内部网络架构实现精细化访问控制,防止威胁横向移动。此外,增强型 IAM 基于用户自身基础的身份认证和访问权限控制能力,增加了对应用的动态访问控制能16 力,是实现南北向四、七层流量防护与东西向流量防护
37、的重要基础。与 2022 年调研结果对比发现,越来越多零信任供应侧企业进入 ZTNA 赛道,微隔离存在巨大的市场空白。来源:中国信通院 图 2 零信任解决方案供应情况 零信任供应侧企业在解决方案部署形式方面更加全面,超八成零信任供应侧企业既可以本地化部署也可以提供 SaaS 化产品。报告调研了2024年零信任供应侧企业的零信任产品部署形式,如图3所示。一是超九成零信任供应侧企业能提供本地化部署。91.7%的企业可以提供本地化部署,本地化部署形式下,用户能将关键数据和应用程序部署在自己可控的服务器上,降低用户对数据安全和隐私保护问题的担忧。二是近九成零信任供应侧企业能提供 SaaS 化产品。86
38、.1%的企业可以提供 SaaS 化部署,SaaS 化部署允许用户无需自建和维护复杂的 IT 基础设施,即可快速部署并应用零信任安全策略,并且由 SaaS提供商负责相关服务的更新、维护和托管。相比而言本地化部署使得用户对数据和系统有更高的控制权,用户更容易接受此种方案,这可能是零信任供应侧企业做本地化解决方案更多的原因。17 来源:中国信通院 图 3 零信任部署形式供应情况 从部署形态上看,过半数供应侧企业能提供模块化部署。零信任供应侧企业中超过半数的企业可以提供零信任的模块化部署形态,模块化部署能将零信任安全架构拆分成多个独立的模块,每个模块承担特定的安全功能,如访问控制、动态监测等,这些模块
39、可以根据用户的实际需求进行选择组合与部署,灵活地开展安全防护。此外,还能将整个零信任安全架构中的身份认证、安全策略管理、网关等关键组件和服务封装到容器中,形成一个完整的零信任安全防护系统,以实现在不同的环境中和平台上快速部署并开展网络安全的防护。2.零信任产品联动能力呈缓慢进步趋势 报告调研了 2024 年零信任供应侧企业提供的产品与用户环境中的身份安全产品、安全管理产品的联动能力,并与 2022 年调研的联动情况进行对比,零信任供应企业在身份安全产品和安全管理产品的联动能力均有微量提升8。8 零信任有端模式下,终端均会集成基本终端安全功能,如终端环境检测、终端安全基线检查等,故 2024年未
40、对终端安全产品联动情况专门调研。18 超七成零信任供应侧企业支持与第三方身份安全产品对接。2024年调研结果如图 4 所示,55.6%的零信任供应侧企业可以提供自研身份安全产品,同时其零信任产品支持与第三方身份安全产品进行联动,与 2022 年相比提升了 9.2%。有 16.7%的企业仅支持与第三方身份安全产品联动,与 2022 年相比减少 4.7%。有 22.2%的供应侧企业仅支持与本公司身份安全产品联动,与 2022 年相比减少 2.8%。有 5.6%的企业提供的零信任产品不支持与身份安全产品联动,与 2022 年相比减少 1.5%。2022 年与 2024 年分别有 67.8%和 72.
41、3%的零信任供应侧企业支持与第三方身份安全产品对接,与第三方的身份安全产品联动能力小幅提升,一定程度上表明零信任供应侧企业正在慢慢地接受自身的零信任产品应该与业内其他公司的身份安全产品实现对接,协同开展身份安全防护。来源:中国信通院 图 4 身份安全产品联动情况对比 近六成零信任供应侧企业的零信任产品支持与用户已有的安全管理类产品联动。2024 年调研结果图 5 所示,有 58.3%零信任供应侧企业支持与用户环境中已有的安全运营中心、态势感知等安全分析系19 统联动,与 2022 年相比提升 4.7%。有 30.6%的企业仅支持与本公司提供的安全管理产品联动,与 2022 年相比降低 5.1%
42、。与身份产品联动对比情况类似,和 2022 年相比,与第三方安全管理产品的联动能力同样是小幅提升,侧面反映了零信任应用侧企业重视零信任产品所能获得的安全态势信息,一定程度上促进了零信任供应侧企业将自身零信任产品与第三方安全管理产品进行对接。来源:中国信通院 图 5 安全管理产品联动情况对比(二)零信任安全保障能力持续提升,新场景的应用已落地 1.围绕待保护对象,供应侧持续提升零信任产品能力 保障核心资产是当前企业实施零信任的主要驱动。报告调研了2024年零信任供应侧企业服务的用户,使用零信任主要保护的对象,调研结果如图 6 所示,包括四大类别。一是数据,数据是企业的核心资产,有 91.7%的用
43、户使用零信任保护数据资产,利用数据分类分级结果,对不同敏感程度数据进行分等级保护,以实现最小权限授权;二是应用,应用是企业业务的支撑,有 86.1%的用户使用零信任保护应用程序,零信任使得所有应用的访问都通过其网关进行转发,不对20 外暴露实际 IP 地址,有效防止了 DDoS 攻击等针对应用程序的直接威胁;三是基础设施和工作负载,基础设施和工作负载是业务运行的根基,41.7%的用户使用零信任保护基础设施和工作负载,通过划分细粒度的网络分段,在工作负载间实现细粒度的访问控制,确保每个工作负载之间的通信都经过严格的身份验证和授权,有效阻断威胁在工作负载间的横向扩散。四是 API,API 是服务间
44、通信的纽带,有 22.2%的用户使用零信任保护面向公众提供的 API,有 33.3%的用户使用零信任保护企业内部的 API。对于面向公众提供的 API,零信任策略聚焦于构建严格的边界访问控制,基于访问者的身份、流量波动及请求上下文,动态调整访问策略,实时监测南北向的流量状况并阻断潜在的恶意访问,有效防范外部攻击;对于内部的 API 调用,零信任策略则侧重于服务调用合理性管理,通过对历史调用行为的学习精细化权限管理,满足服务调用需求并防止未经授权的调用。来源:中国信通院 图 6 零信任供应侧提供服务时的对象选择情况 超八成用户使用零信任保护办公环境,开发测试和生产环境紧随其后占比七成左右。报告调
45、研了 2024 年零信任供应侧企业服务的用户应用零信任时的环境选择情况,如图 7 所示。一方面,将零信任应21 用于办公环境的安全防护仍然是用户的主流选择。当前有 86.1%的用户应用零信任于应用于办公环境,办公场景对于新技术的接受度较高,主要原因是场景较为简单,目的是实现内部应用的访问控制,通常实现身份认证和应用隐身即可完成主要防护。另一方面,零信任正在积极应对在开发测试环境和生产环境落地的挑战。一是开发测试环境中数据高频流动,精细化访问控制较难。当前有 69.4%的用户应用零信任于开发测试环境,开发测试环境下代码不断变更,代码提交数据高频流动,零信任难以基于提交代码内容决定是否合入,仅能判
46、断提交代码人员是否具备相应权限。零信任正积极与 SAST(Static Application Security Testing,静态应用安全测试)等工具联动,协同判定提交代码的安全性。二是生产环境对业务连续性要求高,提升零信任部署难度。当前有 72.2%的用户应用零信任于生产环境,生产环境的许多设备可能使用旧的操作系统或专用的软件,用户无法确保零信任上线时完全不对业务运行产生影响。许多零信任供应侧企业积极与用户开展试点,通过小范围试点或开展科技项目与用户环境中的设备进行适配,力求降低对用户业务连续性的影响。来源:中国信通院 图 7 零信任应用环境的用户选择情况 22 2.零信任在新场景的应用
47、展现独特优势 过往的零信任洞察报告中分析了零信任在远程办公场景、多分支互连场景、勒索攻击防护等场景的应用,今年我们也观察到了零信任在一些跨领域场景实现了安全防护,如物联网、5G 等,调研结果如图 8 所示。有 75%的零信任供应侧企业支持使用零信任赋能物联网安全,有 47.2%的企业支持使用零信任赋能 5G 安全。零信任的跨领域赋能,不仅促进了技术间的深度融合与创新,还提升了复杂应用场景下安全防护能力,展现出显著增值效益。来源:中国信通院 图 8 零信任供应侧的跨领域结合情况 零信任强化物联网设备运维和数据交互的安全。当前,物联网广泛应用于各行各业,包括能源行业的智能电网、汽车行业的无人驾驶、
48、农业的土壤监测、制造业的工业自动化等。零信任的应用能够帮助企业更好地应对物联网场景下的安全挑战,以电力和汽车行业为例。电力行业使用零信任应对弱信息化设备运维时风险。电力行业大量二次设备属于近线设备(指直接参与电能的发、输、配电的主系统上所使用的设备,如发电机、变压器等),各厂家私有化运维,存在信息泄露、病毒入侵、误操作等风险。通过将零信任网关和控制中心整合至23 一台便携式终端,由地市班组操作授权、现场监督,提高各厂家巡检操作的安全性。汽车行业使用零信任应对智能联网汽车不同组件间数据交互时的风险。自动驾驶汽车高度依赖网络通信,指令库存在被恶意访问与控制的风险。零信任对各组件分配合理权限,对组件
49、间的每次数据交互进行访问控制,有效地保护汽车内部应用免受来自非授权用户的连接。零信任赋能 5GC 网络实现内在的安全。3GPP 为 5GC(核心网)制定的安全设计与零信任原则存在一定程度的非严格映射关系,在5GC 实现零信任理念可以考虑从以下几方面改进。一是暴露面收敛方面,5GC SBA(Service Based Architecture,服务化架构)将传统核心网中的网元分解为多个 NF(Network Function,网络功能),形成独立、可复用的服务,NRF(Network Repository Function,网络存储功能)作为服务注册与发现中心,负责控制 NF 间的通信。NF 提
50、供者默认被防火墙隐藏,NF 消费者正式发起通信前,可以向 NRF 发送SPA(Single Packet Authorization,单包授权)预认证报文,NRF 通知NF 提供者为该消费者开启对应的安全策略,并允许该消费者连接,避免了 NF 提供者的暴露。二是多源评估方面,得益于 SBA 的使用,不同运营商的 NF 可以通过标准化接口通信,因此 5G 场景下需着重考虑对 NF 的信任问题,持续监控 NF 合规、安全状况并对 NF 进行信任评估,包括 NF 位置、软件能力(补丁级别、软件版本)、历史执行、配置合规性等情况,通过动态访问控制策略评估 NF 安全性。三是安全传输方面,NF 之间的通
51、信支持使用行业标准安全协议进行24 保护,以保证无论网络位置如何,所有通信都是安全的。四是最小授权方面,3GPP 的安全设计要求 NF 仅针对规定的 API 提供服务,从而减少潜在的攻击面。(三)新兴技术相互赋能,为安全提供持续的创新动力 1.零信任赋能先进技术强化安全防护手段 零信任赋能面向风险的漏洞管理。由于受业务限制,用户难以全量修补系统漏洞,传统的漏洞管理方式依据漏洞体量和严重性影响评估漏洞高危或低危,然而在用户实际生产环境中,若高危漏洞位于用户封闭资产中,从全局来看高危漏洞对于用户影响反而不大。因此应基于漏洞对于企业的实际风险和影响对漏洞级别进行评估。零信任是一种除补丁修复外的有效“
52、缓解漏洞风险”的措施:一是辅助发现影子资产,识别潜在漏洞,零信任系统监测的全局流量可以提取未识别的资产 IP,用于指向资产管理系统对未知 IP 进一步扫描,从而发现脱离管理的影子资产及其漏洞;二是评估漏洞风险,利用微隔离技术掌握网络流量态势,通过全网流量分析精准掌握漏洞可见性信息,从而推算其暴露面宽度,再联合资产“基于业务属性”的标签,结合资产重要性进一步对量化风险进行调整,最终帮助用户找到最为关键的攻击面;三是漏洞缓解,利用零信任的精细化访问控制能力收敛漏洞攻击面,缓解漏洞风险。零信任赋能区块链实现链上设备的身份化。为降低中心化网络的建设和运维成本,以及单一节点失败导致的网络整体不可用问题,
53、当下一些物联网场景选择使用区块链(私链)建立一个分布式的网络,25 利用区块链底层 P2P 组网技术和混合通信协议处理异构设备间的通信。然而,区块链本身对物联网设备的接入没有强制身份验证要求,为提升链上安全性,引入零信任理念改造区块链网络:一是赋予设备不可篡改的身份。利用区块链的分布式存储、链式结构以及加密技术等,为入网设备构建不可变的、防篡改的身份记录。二是强制验证设备身份,实现分散身份验证。在区块链上建立多个分散的身份中心,每次设备接入认证时,都将通过其中的某个身份中心独立验证身份,实现一定层面上的“身份分布式”,“分布式”的身份中心利用区块链的信息同步机制同步身份信息,消除单点故障并降低
54、凭证泄露风险。三是实现持续身份验证。分布式的身份中心可提升身份验证速度,能够持续监控并重新验证实时用户的活动,从而大大减少潜在的未经授权的访问窗口。2.人工智能赋能零信任有效应对更复杂的网络安全威胁 随着 AI(Artificial Intelligent,人工智能)产业的蓬勃发展,AI 在网络安全领域也发挥了重要作用,其中,零信任+AI 引起业界广泛关注。2024 年调研结果显示近七成零信任供应侧企业已经将 AI 技术应用于零信任中,如图 9 所示,主要是以下四个方面。一是 AI 令访问主体综合评估更加全面,有 61.1%的企业应用 AI 在访问主体的综合评分,利用 AI 对数据的处理能力,
55、引入更多评估源,对访问主体的静态属性和动态行为进行综合评估;二是 AI 能扩大威胁检测的范围,有 47.2%的企业应用在 AI 驱动的威胁检测,AI 能将访问主体的属性,与流量和访问行为数据进行关联,能够处理更复杂的、无规则的信息26 理,精准识别潜在恶意访问;三是 AI 强化威胁预测的能力,有 30.6%的企业应用在 AI 的预测性威胁建模,AI 能依据过往的历史攻击数据和威胁行为构建预测模型,提前识别威胁,并结合零信任实时检测异常流量,识别潜在的攻击;四是 AI 提高安全分析和决策的效率,有22.2%的企业利用自然语言处理进行安全分析,系统能识别人类语言意图,自行处理威胁并生成安全报告,给
56、出分析和安全决策建议。来源:中国信通院 图 9 零信任供应侧的 AI 赋能情况 27 第三章 零信任应用侧调研观察:理性选择并期许未来(一)用户更理性选择零信任并制定务实的目标 零信任发展研究报告(2023 年)阐述了零信任落地部署时面临的多重考量,包括安全责任边界模糊、难利旧和老旧系统对接难等问题。2024 年调研结果显示,遗留老旧基础架构难以被集成、遗留系统技术改造复杂以及难以利旧仍然是用户落地零信任排名前三的挑战,从零信任供应侧企业视角来看,三者比例分别高达 77.8%、66.7%和 44.4%,如图 10 所示。随着零信任应用在各行业逐渐深化,与 2023年报告对行业的访谈结果相比,有
57、相似之处也有新增的考量。来源:中国信通院 图 10 用户落地零信任面临的挑战 解决方案的成熟度是用户选择零信任供应侧企业时的首要考量因素。零信任解决方案向成熟迈进其核心是管理视角的升维,从管理物理基础设施向管理精确到业务转变,管理单元从安全域和网段上升到了业务与角色,而其采用的白名单、收口管理模式,势必对解决方案成熟度提出更高的要求,面向用户可感知的便是使用体验的进一步提升:一方面是解决方案易用性、兼容性和稳定性的提升。企业级用28 户的选型十分看重方案的成熟度,一些有条件的用户会通过长周期、复杂场景、严苛环境的测试,来验证方案与产品的环境适应性、复杂需求满足度、非功能特性等。另一方面是零信任
58、系统与安全工具的互联互通性提升威胁感知能力。当下,网络层和应用层都有方案可以实现真实 IP 溯源,好的互联互通性可以提升攻击溯源能力,例如当用户态势感知系统探测到攻击,从态势感知系统视角攻击源头是零信任系统,网络层可以通过池化零信任网关地址,客户端接入时分配地址网关形成映射表,应用层可以在向应用发起的 HTTP 报文中插入客户端地址,从而实现威胁的溯源。特殊行业用户对零信任供应侧企业以咨询方式在部署前期介入的需求提升。电力行业因其系统是国家关键基础设施,且对社会经济和民众生活影响面广,致使其对新技术的采纳保守且谨慎,然而随着网络攻击手段多样化,电力行业弱信息化设备的安全受到威胁。电力场景下零信
59、任访问控制能力部署于数据中心,然而弱信息化设备如变电站等物联网设备通常飘在数据中心之外,有独立的物联网组网,零信任的落地需要解决异构网络与异构数据带来的问题,用户通常不敢在实际环境中试点,需要零信任供应侧企业针对用户痛点需求以科技项目进行验证,通过验证后转化为信息化项目,最终在实际场景中开始试点,上述成果转化周期通常长达 1 年以上,因此电力行业用户需要零信任供应侧企业前期长时间的配合,共同攻坚克难。用户愈发具备良好的预期管理能力,能够制定夯实的目标。早年的零信任用户多具备尝鲜心态,看重零信任的先进性和创新性,此类29 用户在管理预期时都会期望实现“一步到位”的目标,期望通过零信任实施,在全局
60、范围内实现真正意义的最小特权控制,然而一步到位工程量大且实施难度高,成为最终导致项目无法达成预期甚至失败的原因。近年来,通过实际案例充分地引导用户,已经看到多数的用户开始制定更为“务实”的目标,即制定一个“小目标”精准的圈定一个范围,由切实的业务需求导出安全需求,并制定合理的分段隔离、访问控制目标,追求在局部快速见效、取得成功,然后基于经验回归和价值判断,复制到更为广阔的范围。(二)以体系化防护为核心的平台化零信任获市场青睐 零信任的实施与防火墙等安全标件的部署不同,需要与用户针对防护涵盖面进行充分探讨,零信任作为体系化产品,针对不同客户群体有不同表现。所谓平台化的零信任强调体系化安全防护能力
61、,包含了两方面内容,一方面是一体化的零信任方案,部分用户偏好使用一套完整的方案基于其防护涵盖面开展体系化的安全防护;另一方面是零信任系统的集成化能力,大中型用户的安全工具通常不会被一家厂商绑定,处于碎片化状态,此类用户希望零信任系统具备集成化能力将其环境中的安全工具串联起来。用户认为一体化的零信任方案与自身业务贴合度更高。根据中国信通院调研结果显示,用户在选择零信任供应侧企业提供的解决方案(解决方案包括与之有关的安全产品,包括:身份、终端、数据、网络、应用/工作负载、安全管理等安全产品)时,对于“供应侧企业能提供一整套安全产品更优”还是“供应侧企业能与生态内其他企业的安全30 产品联动更优”,
62、用户持有不同看法如图 11 所示。61.1%的用户选择视情况而定,如果已有较多历史积累的安全产品,零信任控制中心能与安全产品实现联动更优,反之则全部使用某供应侧企业的一套安全产品更优。用户认为一体化的零信任解决方案从底层基础、架构设计和模块复用角度实现效果更优,在业务需求满足度上更高。此外,用户也表示上述情况更适用于新建安全防护体系,如果有历史建设,产品的联动仍是当下提高投入产出比的最优方式。来源:中国信通院 图 11 用户选择零信任供应侧企业时的意愿 零信任的运行需充分融入用户业务体系,对零信任系统集成能力提出更高要求。零信任是“重运营”的管理模式,微隔离领域,当用户应用到一定程度,规模化的
63、用户自然而然会关注策略统一管理,并将策略运营流程自动化,如希望通过工单系统实现上万台云工作负载策略的批量下发,上述过程需要充分融入用户的监、管、控体系。“监”指流量可视化,通过部署监控点位学习业务访问关系;“管”指策略管理,用标签定义策略与用户业务融合;“控”指访问控制,策略自适应实现不同强度的管控。ZTNA 领域,打通用户环境中遗留的安全产品从使用效果层面并不是安全防护的最优解,零信任系统与安全工31 具的缝合只能通过上层逻辑介入,实现管理表层的统一,底层诸如策略的统一管控难以实现,若想真正实现安全工具的联动,需要零信任系统以及安全产品具备丰富的 API,首先实现安全工具间的联通,其次与用户
64、侧业务体系进行融合,均对零信任与安全工具集成能力提出较高要求。(三)用户落地零信任见效后对使用体验有更多期许 零信任持续化的风险识别与认证能力存在提升空间。目前零信任大多关注传统网络安全层面,对业务层面的安全风险关注不足,用户使用零信任实现动态访问控制,大多处于单次访问发起前对访问主体进行风险判断,如终端环境是否符合基线要求、访问主体历史行为的验证、访问客体开放权限等级的校验等。诸如 UEBA 一类的用户行为实时分析系统也仅能做到用户在网络安全层面的判断,如内外网切换带来的网络环境的变化、异地登录的判断等。用户行为再深入一步的判断实现困难,主要原因包括实时计算难度大,对服务器性能消耗高,以及零
65、信任决策的因子不够充沛等。此外,如果需要和外部安全分析系统集成,目前多数实现的是零信任向外部安全分析系统输出信息,能够实现外部安全分析系统向零信任控制中心下发策略的少之又少,零信任真正需要实现的持续化的风险识别和认证还有很长的路要走。与零信任供应侧企业共创零信任防护之道获得应用侧企业认可。据不完全统计,当前超过 90%的用户购买零信任用于内部安全风险的多源评估,或是与终端安全、网络安全等工具联动共同处置威胁,过程中一是需要实现安全工具与零信任控制中心的联动,二是零信任的32 控制策略需要与用户业务贴合。业务本身由用户研发,零信任供应侧企业难以设计贴合用户的业务模型,改造过程较为复杂。因此有创新
66、用户尝试了一种新的零信任应用模式,使用自研的安全大脑作为风控系统的核心,零信任作为安全大脑的信息输入源之一,将访问主体行为发送至安全大脑,安全大脑本身会连接内部已有的态势感知系统做关联分析。此模式下:于零信任供应侧企业角度,通过提供开放的 API免于设计业务模型,加速其交付速度。于零信任应用侧企业角度,安全大脑的安全策略能够更加贴合自身业务模型,零信任能够为其决策提供更多依据,使用效果更好。用户对零信任的非功能性需求提出愿景,期望获得使用体验的提升。零信任本身因为解决安全问题而得以发展,用户在获得良好安全体验的同时,也希望获得更好的使用体验。一是网关策略有效性监控。零信任策略的下发影响面广,用
67、户希望策略的下发可以与内部审批流集成,从而充分管控策略发布的全流程:一方面为策略发布预留窗口期,策略发布前经过多轮审批,并且支持策略的一致性检查和回滚;另一方面是网关状态监控,如果策略升级过程中资源占用超过阈值,可以及时发出告警,并能够回滚策略。二是支持特权服务设置。零信任网关是流量准入的唯一入口,针对企业内部特殊员工,支持特权服务可以为其使用带来便利。例如一是针对高级别员工提供更流畅的服务,将其流量转入性能更高的服务器处理;二是特殊终端可以获取更多信息,通过设备特征值允许其访问专门服务器等。33 第四章 零信任发展展望“零信任+AI”将持续激发网络安全领域技术创新活力。根据Forrester
68、 的报告,到 2025 年,AI 软件市场规模将从 2021 年的 330 亿美元增长到 640 亿美元,网络安全将成为 AI 支出增长最快的细分市场9。当前,零信任供应侧企业已经开始尝试使用 AI 赋能零信任(详见第二章第三节),未来,零信任与 AI 的结合将迎来更多市场机遇,零信任供应侧与应用侧企业可从四方面找到实际落点。一是利用 AI 生成基于业务场景的策略集,令零信任策略贴合业务。当下如远程办公等场景下,访问主体在进行增强认证时需要人的配合,如通过人脸验证或验证码进行多因子认证,但在无人车一类场景下失去意义。无人车场景下,联网车辆通过远程控制转向,一旦被黑客控制执行有害指令,危险程度极
69、高,对于实时指令执行与否的判定速度要求较高,因此需要人配合的增强认证没有意义。利用 AI 基于过往行车的业务数据分析基线,验证控制端指令危害程度,为无人车场景建立零信任策略集,令策略与实际业务贴合,提升策略判定精准度。二是针对办公场景生成小 AI 模型,提升零信任策略判定速度。各行各业企业员工每日都会访问企业办公系统,如 CRM(Customer Relationship Management,客户关系管理)、人力资源、财务等系统,无论是否同一系统,在不同使用场景下,为了实现更好的效果,策略 9 https:/ 34 应存在区别。以 CRM 的使用为例,CRM 可以管理客户信息和项目信息等,员
70、工在使用 CRM 时,其登录环节和信息处理环节面临的安全风险不同,因此风险防范关注点不同。登录环节更关注身份的盗用,策略应围绕访问主体是否有可信的身份,例如是否使用常用设备登录,是否于常驻工作城市登录等;更新信息环节更关注人员操作权限,策略应围绕访问主体是否分配了合理的权限,例如销售拥有信息增删权限,市场人员通常只有只读权限等。定制化的小 AI 模型能够更好的捕捉各办公环节特征,提升判定精准度的同时也提升了判定速度。三是利用大模型辅助零信任完成 T+1 分析。大模型因为参数众多,能够学习复杂的模式和关系,强调推理和生成能力,并不非常适用于与上述两项中提到的业务场景或办公场景结合,过度的细化将令大模型应用失去意义。当发生安全事件后,大模型可以借助零信任对网络流量的识别能力、终端遥测数据以及事件日志,利用推理能力复原攻击路径;再结合攻击手法、攻击工具、IP、攻击偏好等信息,形成攻击者画像;甚至引入网络安全智能体,遵循人类规则与价值体系,自主完成安全事件的响应与处置。四是利用大模型来降低零信任系统操作运维的复杂程度。零信任的访问控制逻辑、策略管理框架复杂度高,对于新接触的用户需要一个适应的过程,通过自然语言向大模型输入用户意图,由大模型转移为机器语言完成系统配置、变更等,能够帮助用户降低运维难度。35