1、零信任的发展及其在安全远程访问中的应用Omdia|零信任的发展及其在安全远程访问中的应用2Contents摘要.3零信任的时代已经到来.3威胁经济迅速发展.3预防性安全方法无法承受越来越大的压力.4三种新的安全方法NGAV、XDR和零信任.4零信任概念的演进.5零信任在现代安全领域中的应用.6两种ZTA架构.8腾讯的产品：ZTAC.9WAN加速和链路优化.11附录.12作者.12Omdia|零信任的发展及其在安全远程访问中的应用3摘要本白皮书首先介绍了“零信任”概念及其相关历史背景，并解释了近年来零信任为何越来越受欢迎。此外，白皮书讨论了零信任在当前网络安全实践中最引人注目的应用，接着聚焦其在

2、远程访问中的应用，即零信任访问（ZTA）。最后，本文说明了腾讯如何在其T-Sec零信任访问控制（ZTAC）平台中实施ZTA。零信任的时代已经到来虽然零信任早在十多年前已经出现，但这种信息安全方法在过去三年中获得了发展动力，一个证明就是，越来越多的技术供应商在其市场活动中支持零信任概念并表示在其产品中融入了该技术。此外，针对该主题的网络研讨会、会议和白皮书数量激增都显示出，当前企业对零信任的兴趣比以往更加强烈。近期，新冠疫情驱使全球数百万知识型工作者长时间居家办公。这引发了企业对安全远程访问的关注，以及对更安全的传统虚拟专网（VPN）方法替代方案的兴趣。零信任原则在此问题上的应用是零信任访问（Z

3、TA）技术，我们将在白皮书后面的部分进行讨论。首先，让我们考虑推动零信任兴趣的市场现实，接着研究这种针对安全的设计、实施和操作方法的核心原则。威胁经济迅速发展.网络安全是IT方面唯一具有天然对立性的领域。尽管服务器、处理器、网络和应用厂商都在相互竞争来争夺业务和市场份额，但安全厂商不仅必须与彼此竞争，还必须面对企图规避其产品的攻击者。网络攻击者和防御者之间的竞争通常被恰当地比作“军备竞赛”，并且有明显迹象表明，在过去二十年，防御者一直处于劣势。首先，它们正在保护的基础设施变得更加复杂。由于数字化转型、应用基础设施向云迁移以及越来越多的智能终端能够远程连接到企业资源等趋势，网络边界几乎已经消失。

4、在这一新情况下，客户面临着更大的敏感数据可能丢失的风险，而传统的网络安全架构（在基础设施可以被视为“城堡与护城河”时创建）无法应对该挑战。攻击者的数量和种类大幅增多；曾经他们大多是希望获得同行认可的技术极客，而现在的情况已经发生了很大的变化。当前，全球各地都存在资金充裕的犯罪集团，并且存在具有政治动机的“黑客行动主义者”社区，例如匿名者（Anonymous），此外还有背靠国家支持的拥有丰富资源的攻击者群体。同样，自世纪之交以来，这些群体可以利用的威胁基础设施迅速发展：包含基础攻击代码的攻击工具包在暗网上的价格相对很低；暗网上还存在一个线上的现成市场，提供有助于攻击者的各种数据，包括盗用的IP地

5、址、盗用的信用卡详细信息和其它凭证；伴随云计算的发展，保障匿名性的僵尸网络和代理等犯罪软件即服务基础架构大量出现。除了21世纪迅速发展的“威胁经济”之外，还出现了合法的隐私举措，这些举措进一步推动了攻击者的活动。例如：Tor Project（基于The Onion Router浏览器）推出了免费的开源软件，该软件使互联网流量经过一个由全球志愿者免费提供，包含数千个中继的覆盖网络，从而隐藏用户的位置和使用，避免任何人进行网络监控或流量分析，最终实现匿名浏览和通信。即时消息应用（如WhatsApp）已将加密作为一种标准做法，Telegram等类似WhatsApp的应用正为消息、视频通话、VOIP和

6、文件共享提供“端到端”加密。虽然这类技术并非天然为非法活动而设计，但显然，伴随合法用户寻求隐私和言论自由，它推动了非法活动的迅速发展。对于网络犯罪的演变而言，另一个重要的发展是加密货币的出现。加密货币作为一种交易媒介，是数字资产或货币的电子形式，而且至关重要的是，加密货币不受任何中央权威的管制。Omdia|零信任的发展及其在安全远程访问中的应用4去中心化且独立的加密货币自然引起了网络犯罪分子的关注。虽然作为加密货币的支撑技术，区块链公开宣称的目标是成为一个不可篡改的分类账来保障身份识别，使所有交易都能被追踪，但有一种方法可以绕过这种追踪，称为“不倒翁”服务。该服务将可能被识别的加密货币资金与其