中国信通院：数字化时代零信任安全蓝皮报告（2021年）（60页）.pdf

《中国信通院：数字化时代零信任安全蓝皮报告（2021年）（60页）.pdf》由会员分享，可在线阅读，更多相关《中国信通院：数字化时代零信任安全蓝皮报告（2021年）（60页）.pdf（60页珍藏版）》请在三个皮匠报告上搜索。

1、如图 1(1)所示，随着虚拟化和容器技术的使用使得企业纳管的资源粒度细化，边界的概念从内外网分界处到主机边界处，再到容器之间，传统网络安全边界逐渐消失。另一方面，混合云模式的广泛采用，弱化了传统安全边界的防护能力，一是公有云与私有云的交付点连接安全尤为脆弱，如图1(2)所示，攻击者可以通过攻击进入更为开放的公有云，并从公有云渗透入私有云中，在内网中横行，传统的安全边界无法形成有效的防护;二是多云异构平台无法使用统一安全策略，如图 1(3)所示，异构云平台具有异构技术堆栈，对资源有不同的定义、标签、分类，企业安全策略无法直接从云下平滑迁移至云上，以及在多云之间迁移。应用架构随基础架构升级不断演进

2、，安全边界模糊。如图 1(4)所示，随着基础架构从物理服务器向虚拟机、容器变化，应用架构的升级迎来新契机，从单体应用架构向微服务架构变化，从应用架构形态上来看，微服务化的形态促进了分布式部署模式的发展，应用系统的分布式部署打破了传统单体架构部署于数据中心内的模式，传统网络安全边界逐渐消失。互联网向网络空间演化，防护性能要求更高。随着科技发展，网络安全的内涵和外延不断扩大，互联网时代企业拥有明显网络边界，基础设施、数据、应用等资源位于企业数据中心内网，仅向互联网开放有限端口或完全不开放，风险暴露面小，众多威胁主要从边界外通过端口向内网发起攻击，例如网络渗透、网络劫持、数据破坏和窃取等，企业通过边

3、界防护即可抵御绝大部分的威胁。而网络空间安全时代，网络边界模糊，范围由数据中心向云端、终端等各个环节不断延申，面临威胁显著增多，对安全防护能力的要求随之提升，传统安全防护的劣势凸显。一是传统安全措施多以购置第三方软、硬件为主，因此多外挂式部署，如图 1(5)所示，外挂部署通常基于代理实现，代理本身存在一定的安全和稳定性风险，同时代理的部署也可能对云上 IT 系统造成影响;二是无法充分利用数字基础设施原生的资源和数据优势。传统安全产品与已有IT 基础设施割裂，难以获取数字基础设施内数据，缺少整合、关联分析，无法深度挖掘潜在安全风险;三是传统安全产品孤立，不具备协同工作能力。如图1(6)所示，传统安全产品使用复杂、成本高、相对孤立，增高了中小企业的应用门槛，安全效果不能达到预期。