零信任调研报告

liferecords2022-05-172022-07-16

1 零信任背景
- 1.1 零信任发展历程
- 1.2 零信任VS传统方式
2 零信任架构
3 部署场景/案例
4 零信任安全趋势
参考文献

1 零信任背景

随着云计算、大数据、物联网、移动互联网技术不断发展，企业IT技术设施变得越来越多样化，业务系统访问需求越来越复杂，内部员工、供应商人员、外部合作伙伴等可以通过多种方式灵活接入系统，系统之间的互联互通也将被更多的终端访问，企业原有的 网络边界逐渐模糊。

同时，网络安全风险及威胁日益复杂，APT攻击、勒索软件、内部越权操作等新型网络攻击手段层出不穷，对企业造成了重大的业务损失，而传统的基于边界的网络安全防护手段已难以应对这些潜在的安全威胁。

零信任模型是解决上述问题的有效手段之一。零信任理念最早由研究机构 Forrester的首席分析师John 于 2010 年提出，经过数年的发展演进，已成为网络安全发展的新趋势。其核心思想是坚守 永不信任，始终验证”`的原则，打破了网络边界的概念，企业网络内外的任何人、设备和系统都需要进行持续身份验证和动态授权才能够获得对企业资源的细粒度最小化权限。

1.1 零信任发展历程

来源：中国信息通信研究院

2010 年 Forrester 分析师 John 提出零信任模型，提出去网络边界的思想，认为任何流通于网络中的流量在未经过验证之前都不予信任
2011 年 - 2017 年 Google BeyondCorp 实践落地，BeyondCorp允许员工在不受信任的网络环境中不接入 VPN 就能获得内网资源
2013 年 CSA 提出 SDP(软件定义边界)，作为零信任的第一个解决方案，核心思想是隐藏核心网络资产与设施，免受外来安全威胁
2017 年 Gartner 发布的 CARTA 战略，赋予零信任动态审计的特性
2018 年 Forrester 提出 ZTX 架构，增加了可视化及分析、自动化和编排等内容
2019 年 Gartner 发布等同于 SDP 理念的 ZTNA, 并发布了零信任行业市场预测报告
预测在2022年面向生态系统合作伙伴开发的80%的新业务应用将通过零信任网络访问 ZTNA 进行访问，于 2023 年 60% 的企业将淘汰大部分远程访问虚拟专用网络（VPN)，转而使用零信任网络访问 ZTNA
2019 - 2020 年 NIST 发布 Zero Trust Architecture,进一步明确和细化零信任安全理念；
2020 年 5 月，奇安信牵头提出《信息安全技术零信任参考体系架构》，这是零信任标准层面的首个国家标准，设计

1.2 零信任VS传统方式

传统的安全是以网络区域为边界，通过防火墙、VPN、IPS等网络安全设备建立企业的网络防护边界；一切安全是基于网络位置构筑的信任体系，认为网络内部的人员与设备是可信的。

零信任不同于传统的网络边界安全信任体系，是一套全新的安全理念和安全战略，强调“永不信任，始终验证”。对于零信任架构，任何人、终端、资源都需要先经过身份认证，授权后才可接入相应的资源，并在获取资源期间持续校验，确认是否具有相应的权限。

下面简单梳理了零信任与边界安全理念的优缺点，引用《网络安全先进技术与应用发展系列报告零信任技术》在数字化转型上零信任架构相比传统安全架构的优势。
综合来看，零信任架构更加安全，更加全面，更易维护，细粒度访问权限。

	传统边界安全理	零信任理念
优点	1. 简单可靠 `<br>`2. 规则清晰 `<br>`3. 阻断更彻底 `<br>`4. 业务侵入低	1. 安全可靠性更高 `<br>`2. 攻击难度大``` ``3. 持续校验，从不信任
缺点	1. 无法防护内部攻击 `<br>`2. 边界容易绕过 `<br>`3. 防护深度不够 `<br>`4. 新技术深度不够	1. 单点风险 `<br>`2. 集中化风险 `<br>`3. 复杂化风险 `<br>`4. 凭证风险``` ``5. 投入风险

数字化转型	安全需求	传统安全架构缺陷	零信任安全优势
技术转型	资源粒度细化，安全防护策略精细化需求	划分网络安全域，以网络地址段进行防护	对物理设备、云服务、接口等所有层级的资源进行防护
	混合云下多云安全连接和统一安全管理	连接处缺乏安全防护，安全策略分散	多云间的连接均需通过零信任，安全代理处理所有访问行为，实现策略统一
	分布式架构东西流量防护需求	侧重南北向流量防护	微服务间的流量访问需经过零信任，东西向流量有安全保障
	网络空间防护性能高需求	硬件设备堆叠，性能不足	组件或SaaS,性能弹性扩展
数字化空间	远程办公安全需求	通过VPN,自有设备的安全性难以保障	收集自有设备信息，安全的自有设备才被授予访问权限
数字化空间	供应链协作数据共享安全需求	对数据内外网间的传输进行监测，关键数据位置模糊难检测	每一个数据访问行为都经过零信任，能够及时发现共享风险
产品服务创新	新零售业务威胁防护需求	侧重传统威胁，难以覆盖业务威胁	分析用户行为信息，有效识别业务层面用户风险行为
产品服务创新	物联网安全需求	难以覆盖智能终端安全防护	物联网代理实现终端监测和安全加强

来源: 中国信息通信研究院

2 零信任架构

2.1 基本概念

2.1.1 核心思想

在《零信任网络：在不可信网络中构建安全系统》中，作者概括了零信任的核心思想：

网络无时无刻不处于 危险的环境中
网络中自始至终存在 外部或内部威胁
网络位置不足以决定 网络的可信程度
所有的设备、用户和网络流量都应当经过 认证和授权
安全策略必须是 动态的，并基于尽可能多的数据源计算而来

在默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。

2.1.2 核心原则

从零信任的核心思想出发，总结出零信任架构的核心原则：

将身份作为访问控制的基础

零信任架构为所有对象赋予数字身份，对象包括基础网络、设备、用户、应用等，并基于身份而非网络位置来构建访问控制。
最小权限原则

零信任架构强调资源的使用按需分配，仅授权执行任务所需最小特权，同时限制资源的可见性。
授权决策时将人员、设备、应用等实体身份进行组合，形成访问主体。通过对主体的组合信息以及访问需求，信任评估和权限策略计算情况确定是否授权访问权限。
实时计算访问控制策略

授权决策依据主体的身份信息、权限信息、环境信息、当前主体信任等级等数据实时计算，形成访问控制策略。资源访问过程中，一旦授权决策数据发生变化，将重新进行计算分析，必要时即时变更授权决策。
资源受控安全访问

零信任架构对所有业务场景、所有资源的每一个访问请求进行强制身份识别和授权判定，确认访问请求的权限、信任等级符合安全策略要求后才予以放行，实施会话级别的细粒度访问控制。
基于多源数据及逆行信任等级持续评估

主体信任等级根据实时多源数据，如身份、权限、访问日志等信息计算得出，参与计算的数据种类越多，数据的可靠性越高，信任等级的评估就越准确。
通过专家系统、模型训练、机器学习等人工智能技术，紧扣应用场景，提升信任评估策略计算效率，实现零信任架构在安全性、可靠性、可用性、安全成本等方面的综合平衡。

2.2 零信任安全架构及组件

在 NIST 《Zero Trust Architecture》中，基于零信任的“永不信任，始终验证”的理念搭建零信任的逻辑架构。

零信任架构总体框架图
来源：中国信息通信研究院

整个逻辑架构由零信任逻辑组件、内部或外部数据源组成，其中零信任核心部分分为控制平面和数据平面。

策略引擎(PE) 负责收集多源信息进行持续的信任评估。
控制引擎(PA) 依赖策略引擎信任评估结果，持续判定授权策略。
安全代理 为已授权的访问主体与被访问资源之间建立安全通道。
内外部数据源 用于信任等级的评估，包括CDM(连续诊断和缓解系统）、行业合规系统、威胁情报源、数据访问策略、PKI（企业公共秘钥基础设施）、ID管理系统、网络和系统活动日志安全事件管理系统等。

位于数据平面的访问主体发起访问请求，由控制平面的策略引擎进行身份认证与多源评估计算，由控制引擎对计算结果进行判定，决定授权策略，一旦授权访问，控制引擎将通知数据平面的安全代理，为该次访问建立安全连接。策略引擎仍持续进行评估，一旦参与对象或其行为发生变化，策略引擎将依据新的评估源进行信任评估，控制引擎随时依据评估结果判定授权策略是否需要改变，随时通知安全代理执行相应操作，最大限度保障资源安全。

2.2.1 策略评估数据源

持续诊断和缓解(CDM)系统：该系统收集企业当前系统状态信息，并将更新应用到配置和软件组件中。企业CDM系统为策略引擎提供关于发送访问请求的系统信息，例如系统运行的是否是打过补丁的操作系统和应用程序、企业认可的软件组件是否完整或是否存在未经批准的组件、系统是否存在任何已知漏洞。CDM系统还负责识别和潜在地对活跃在企业基础设施上的非企业设备执行策略子集。
行业合规系统：该系统确保企业可满足可能归入的任何监管制度（如FISMA、医疗或金融行业信息安全要求等）的合规性要求，包括企业为确保合规性而制定的所有策略规则。
威胁情报源：该系统提供内部源或外部源信息，帮助策略引擎做出访问决策。这些可以是从多个外部源获取数据并提供关于新发现的攻击或漏洞信息的多个服务，还包括新发现的软件缺陷、新识别的恶意软件或策略引擎拒绝从企业系统访问的报告的对其他资产的攻击。
网络和系统活动日志：这是一个企业系统，它聚合了资产日志、网络流量、资源访问操作和其他事件，这些事件提供关于企业信息系统安全态势的实时（或接近实时）反馈。
数据访问策略：这是企业为企业资源创建的关于数据访问的属性、规则和有关访问企业资源的策略的集合。策略规则集可以编码（通过管理界面）在策略引擎中或由策略引擎动态生成。这些策略是授予资源访问权限的起点，因为它们为企业中的参与者和应用/服务提供了基本的访问权限。这些策略应以本组织确定的任务角色和需要为基础。
企业公钥基础设施(PK):该系统负责生成和记录企业对资源、主体、服务和应用等发布的证书，还包括全局CA生态系统和联邦PK。联邦PK4可与企业PK集成，二者也可互不集成。这也可能是不是建立在X.509证书上的PKI.
身份管理系统：该系统负责创建、存储和管理企业用户帐户和身份记录（例如，轻量级目录访问协议(LDAP)服务器）。该系统中包含必要的主体信息和其他企业特征，比如角色、访问属性或分配的系统。该系统通常利用其他系统(（如上述PK)来处理与用户帐户相关联的工件。该系统可能是一个更大的联邦社区的一部分，可能包括非企业员工或链接到非企业资产进行协作。
安全信息与喜件管理(SEM):它收集以安全为中心的信息以供以后分析。然后，这些数据将用于完善策略并警告可能对企业资产发起的攻击。

2.2.2 零信任关键技术(SIM)

零信任架构的三大技术

2019年，NIST对外正式发布了《Zero Trust Architecture》白皮书，强调了零信任的安全理念，并介绍了实现零信任架构的三大技术“SIM”，SDP(软件定义边界),IAM(身份权限管理),MSG(微隔离)。

软件定义边界技术(SDP)

SDP 技术旨在通过软件的方式为企业构建起虚拟边界，利用基于身份的访问控制以及完全的权限认证机制，为企业应用和服务提供隐身保护，使网络黑客因看不到目标而无法对企业的资源发动攻击，有效保护企业的数据安全。

SDP 的体系结构由三部分组成：SDP 主机、SDP 控制器和SDP 网关。SDP 主机发起连接（第一次会发送单包认证(SPA)），通过安全控制通道与SDP 控制器交互来管理，通过 SDP 网关连接 SDP 主机。因此，在 SDP 中，控制平面与数据平面分离以实现完全可拓展的系统。

SDP 的设计原则：
- 网络隐身：SDP 应用服务器没有对外暴露的DNS、IP地址或端口，必须通过授权的 SDP 客户端使用专有的协议才能进行连接，攻击者无法获取攻击目标。
- 预验证：用户和终端在连接服务器前必须提前进行验证，确保用户和设备的合法性
- 预授权：根据用户不同的职能以及工作需求，依据最小权限原则，SDP 在设备接入前对该用户授权完成工作任务所需的应用和最小访问行为权限。
- 应用级的访问准入：用户只有应用层的访问权限，理论上无法获取服务器的配置、网络拓扑等其他信息，无法进行网络级访问。
- 扩展性：除采用特殊协议对接SDP服务器以外，其他访问依然基于标准的网络协议，可以方便的与其它安全系统集成。
身份认证与访问管理(IAM)

身份认证与访问管理(IAM)作为零信任模型中的重要组成部分，可以实现身份管理、认证、授权和审计（4A）等重要功能。企业资源访问的主要要求基于授予给定主体的访问特权。将所有的设备、人员、资源通过唯一标识的方式进行身份认证以及统一管理。使用者可以为他人或应用按需配置任意粒度的权限和身份载体，不必再共享访问密钥，从而做到对接入实体的全方位统一管控，极大降低访问密钥被泄露的风险，提高平台客户信息的安全性。此外，IAM也是信任策略评估的重要指标之一。

IAM具有如下关键功能
- 单点登录(SSO)：通过单点登录可以对多种不同 Web 应用程序、门户和企业应用程序等资源进行无缝访问
- 强大的认证管理：提供统一认证策略，确保 Internet 和局域网应用程序的安全级别一致，为认证系统（包括密码、令牌、x.509 证书、生物识别等认证方式）或其组合方式提供访问管理支持
- 基于策略的集中式授权和审计：对企业 Web 应用程序中的客户、友商和员工的访问进行统一管理。按需分配用户对各个数据的访问权限，并对访问记录进行审计
- 动态授权：获取本地或外部源（包括 Web 服务和数据库）实时触发评估数据的安全策略，从而确定访问授权和拒绝访问。授权策略还可以与外部系统（基于风险的安全系统）结合使用
- 企业可管理性：提供了企业级系统管理工具，使安全人员可以更有效地监控、管理和维护多种环境（包括管理开发、测试和生产环境）
微隔离技术(MSG)

在《零信任框架》中，SDP技术用于实现南北向安全（用户跟服务器间的安全），微隔离技术是用于实现东西向安全（服务器跟服务器间的安全）。微隔离的实现方式是数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点，根据动态策略分析对这些节点执行访问控制，在逻辑上将这些节点隔离开，限制用户横向移动。
- 微隔离客户端：通过代理或虚墙实现，主要包括流量信息收集和策略执行两个部分。向控制中心反馈当前网络中的业务流量信息，实时上报业务动态，接收控制中心下发的策略控制指令，执行安全策略动作，
- 微隔离控制中心：主要包括管理引擎和策略管理两个控制块。管理引擎接收客户端发送的流量数据，并根据这些信息建立业务模型，交由策略管理模块分析当前网络形势，进行多维度策略运算，动态生成安全策略，并下发给客户端执行，通过流量自学习实现策略自适应。
微隔离需要首先确定管理的节点，在客户端收集业务流量信息，反馈给管理中心，管理引擎绘制业务流量拓扑并分析，更新拓扑结构，当业务节点发送访问申请，客户端接收到申请后上报管理中心，策略管理模块分析业务流走向，启动策略运算，下发安全策略至微隔离客户端，客户端策略执行，业务认证通过且具有访问权限，流量放行，否则阻断动作，并输出策略匹配日志信息。

微隔离可以基于以下几种方式实现：基于代理客户端、基于云原生能力、基于第三方防火墙

微隔离是一种在数据中心和云部署中创建安全区域的方法，该方法使企业组织可以分离工作负载并分别保护它们，使网络安全性更加精细，从而更加有效。部署微隔离的几个好处：
- 减少攻击面
- 改善横向运动的安全性
- 安全关键应用
- 改善法规遵从性状况

2.3 信任算法

在零信任架构(ZTA)中，策略引擎 PE 可以看作是大脑，而 PE 的信任算法（TA）则是其主要的思维过程。TA 是策略引擎 PE 用来最终授予或拒绝对资源的访问的进程。策略引擎 PE 接受来自多个源的数据输入：用户信息、用户属性和角色、历史用户行为模式、威胁情报源和其他元数据源的策略数据库。在2.2 零信任安全架构及组件 中提到内外部数据源又可以分为以下几类：

访问请求：来自访问主体的实际请求，包含操作系统版本、使用的应用程序和补丁级别。
用户标识、属性和权限：这是资源访问请求的来源，也是企业或合伙伙伴的一组用户（人员和进程）以及所分配的一组用户属性/权限。 用户和属性构成了资源访问策略的基础。 在推导信任度时可以考虑的身份属性包括时间和地理位置。授权多个用户可视为一个角色，但权限分配给每个用户是独立处理。此集合应编码并存储在 ID 管理系统和策略数据库中。
资产数据库和观测状态：：这是一个数据库，包含每个企业拥有资产的已知状态（包括物理和虚拟）。这与发出请求的资产的观测状态进行比较，包括操作系统版本、使用的应用程序、位置（网络位置和地理位置）和补丁级别，从而对资源的访问进行限制或拒绝。
资源访问要求：这组策略补充用户 ID 和属性数据库，并定义了访问资源的最低要求。要求可以包括认证器保证级别，例如 MFA 网络位置（例如，拒绝来自海外 IP 地址的访问）、数据敏感度（有时称为“数据毒性”）和资产配置请求。这些要求应由数据保管人（即负责数据的人员）和负责利用数据的业务流程的人员（即任务负责人）共同制定。
威胁情报：这是一个或多个有关一般威胁和活动恶意软件的信息源。这些可以是外部服务，也可以是内部扫描和发现，可以包括攻击特征和缓解措施。这是唯一最有可能由服务方提供而不是企业控制的组件。

每个数据源的都有重要性权重值，可以通过专有算法计算得出，也可以由企业配置。这些权重值可用于反映数据源对企业的重要性。

最终决定结果将传递给 PA 执行。PA 的工作是配置必要的策略执行点(PEP)，以开启授权的通信。根据零信任架构 ZTA 的部署方式，这可能涉及向网关、代理或资源门户发送身份验证结果和连接配置信息。PA 还可以保持或暂停通信会话，以便根据策略要求重新验证和重新验证连接。PA 还负责根据策略发出终止连接的命令（例如，超时、安全告警、工作流完成）。

2.4 网络/环境组件

在零信任环境中，用于控制和配置网络的通信流，与用于执行组织的实际工作的应用程序通信流之间，应该存在隔离（可能是逻辑的或物理的）。这通常被分解为用于网络控制通信的控制平面和用于应用程序通信流的数据平面。

控制平面被各种基础设施组件（企业所有和服务提供商提供）用于维护系统；判断、授予或拒绝对资源的访问；以及执行任何必要的操作以建立资源之间的连接。
数据平面用于应用程序之间的实际通信。在通过控制平面建立连接之前，可能无法使用该通信通道。例如，PA 和 PEP 可以使用控制平面在用户和企业资源之间建立连接。然后，应用程序工作负载才能使用已建立的数据平面连接。

对于零信任架构的网络需求：

企业系统应具有基本的网络连接性 - 基本路由以及基础设施
企业必须能够区分设备资产是企业拥有的或管控的及其当前的安全状态 - 企业发放的凭证
企业能够捕获所有网络流量 - 数据平面关于连接的元数据
未访问 PEP 时，不应该访问企业资源 - 只建立经企业身份验证的连接、隐藏企业资源
数据平面和控制平面在逻辑上是分开的
企业设备资产可以到达 PEP 组件
作为业务流的一部分，PEP 是唯一可以访问 PA 的组件
远程企业设备资产应能够直接访问任何企业资源，无需回连到企业基础网络设施
用于支持 ZTA 访问决策过程的基础设施应具有可扩展性，以考虑过程负载的变化
企业设备资产由于某些可观测因素而可能无法访问某些 PEP

2.5 安全能力

在《零信任发展与评估洞察报告》中将零信任安全能力分为六大部分，主要包括：

身份安全能力是零信任框架的基石

零信任以身份为核心，通过对人、设备、应用、工作负载等 IT 架构中的所有对象建立数字化身份，利用多维信息并基于策略实现动态访问控制。因此，身份安全能力是其它能力建设的前置要求，一是对所有数字身份信息进行统一管理，二是通过身份认证、权限管理等实现访问控制。
网络安全能力统筹与管理所有访问连接

一是控制访问连接是否建立，通过安全网关拦截所有访问请求，为认证成功并具有权限的访问主体建立相应访问通道；二是保障访问通道通信安全，通过加密等方式实现网络传输安全。
工作负载安全能力保障被访问资源安全

数字化时代 IT 架构中，被访问资源包括两个层面，一是以虚拟机、容器等云资源为代表的基础设施资源；二是应用系统、API、SaaS 等应用资源。工作负载安全能力能够保障上述资源安全，一方面，通过微隔离等技术实现资源间的流量安全管控，保证所有资源间的访问行为基于零信任理念授权；另一方面，通过漏洞管理等保证资源自身处于安全状态。
数据安全能力围绕业务流转和数据流转进行防护

保障被访问资源的安全，最终目标是实现其上承载的数据的安全与受控访问。数据安全能力聚焦数据层面，一是通过数据分类分级，为零信任理念下数据授权和保护提供支撑和依据；二是基于数据分类分级结果，结合业务需要，使用不同数据安全技术实现多等级的数据安全保护。
终端安全能力提供终端资产的安全保障

终端作为资源访问的重要主体，其安全管理与防护是零信任安全能力的重点。一方面，安全能力应该覆盖移动终端在内的多种终端；另一方面，员工利用 BYOD 设备办公成为常态，安全能力应不仅对企业终端资产进行防护，还应对员工自有的终端设备进行一定管控。
安全管理能力实现多维信息、事件和策略的统一管理

安全管理能力涵盖三大关键：一是多维信息管理，获取并分析访问行为相关的网络、身份、设备、应用等运行上下文，为基于策略的信任评估提供依据；二是策略管理，通过规则、机器学习模型等方式建立授权策略，实现访问行为的权限控制；三是安全事件管理，收集 IT 架构中各类安全事件，并通过关联分析、自动化响应与编排等技术，实现安全事件的检测和处置。

3 部署场景/案例

3.1 零信任应用场景

在企业人员访问与服务间调用的安全需求方面，可划分为办公和开发运维两大类场景。其中，开发运维类场景主要包括远程运维、DevOps 和 API 安全防护：

远程办公场景

员工通过远程接入方式，访问公司的 OA 等内部办公、生产系统，办公不再局限于固定地点和设备，大大弱化了办公中对外部环境的依赖，从而最大化提升办公效率。主要面临的风险：
1. 接入地点和时间复杂化
2. BYOD（Bring Your Own Device）设备增多
3. 数据难以管控
零信任安全能够有效解决上诉问题一方面，不再根据网络位置来验证身份和提供权限，对内网和外网的一切设备默认均不可信，基于多源数据进行权限判定，保证只有安全合法的访问行为被放行；另一方面，强调按需分配和最小权限原则，大大降低了资源的可见性，减少远程攻击。
远程运维场景

为了提供良好的用户体验、满足不同区域的合规性要求，大型企业采用就近部署服务的方式，远程运维成为基本需求；同时，在疫情冲击下，依托内网运维的企业，也不得不通过远程接入运维管理平台进行日常维护操作。VPN+堡垒机进行各类资源和应用的统一管控，面临存在两大问题：
1. 涉及较多高权限账号的访问和操作行为
2. 多环境平台运维不便
零信任安全以运维访问中的人和设备组合状态构建访问主体，为其设定满足需求的最小资源和最小权限，统一安全网关，在动态风险感知和安全控制下，高效地解决运维场景下面临的安全问题。
DevOps场景

云原生以其高效稳定、快速响应的特点成为数字业务创新的原动力，企业在 DevOps 模式下，通过容器化部署、
微服务应用开发有效提升应用迭代速度和质量。面临两大安全挑战：
1. 资源粒度不断细化，安全策略应随资源变化而变化
2. 资源和应用变化频繁，访问控制策略在资源部署和应用上线时难以自动化创建，手工配置、更新的运维成本高，安全管控的延迟大。
零信任安全与 DevOps 协同融合，能够更加有效的构建 DevSecOps 体系，一方面，在工作负载构建后即可标定资产身份、角色、访问需求等，自动化生成对应的安全策略；另一方面，通过微隔离等技术进行不同层级安全隔离，实现工作负载的安全防护。
API 安全防护场景

随着企业数字业务多样化发展，通过API 进行数据交换和共享成为趋势。API 安全风险主要包括：
1. 数据泄露，被爬虫、撞库等恶意手段获取商业和隐私信息
2. 内容篡改，被批量发布垃圾内容、违法违规内容
3. API 管理难
零信任安全中，对 API 级的访问和调用进行鉴权和访问控制，保证 API 可追溯可管理，减少 API 攻击和滥用。

在企业组织机构运营的安全需求方面，主要包括远程分支机构接入场景和第三方协作场景：

远程分支机构接入场景

为了适应企业业务发展，多分支机构成为常见组织形式。分支机构体量增大，专线或公网 VPN 无法满
足当下访问需求：
1. 一方面搭设专线价格昂贵
2. 二是连接稳定性不够好
零信任比传统 VPN 有更好的访问速度和稳定性体验，提供链路加密与全球接入点部署加速，满足弱网络、跨境接入网络延迟等问题，解决频繁断线重连问题，提升访问体验。
第三方协作场景

数字化转型推进产业链不断优化提升供应链全链条的优化协同、不同行业之间进一步合作融通成为趋势。在企业协同过程中，面临大量的第三方人员访问和第三方系统连接企业内部资源的需求。与企业内部员工和系统相比，第三方接入面临更高风险
1. 各企业管理机制和能力有差异，安全能力不对等
2. 接入设备和系统的安全能力参差不齐
在零信任安全中，一方面，限制最小访问权限，访问控制策略可下发至具体的服务器、容器，甚至应用和接口，访问主体仅能访问权限内的资源，有效防止主体的越权访问，将风险影响限制到最小范围；另一方面，终端安全建立统一的安全基线，仅在第三方设备满足基线要求下才允许接入企业内部资源，降低接入设备可能引入的安全风险。

在技术应用的安全需求方面，主要包括多数据中心跨域场景和物联网场景：

多云/多数据中心接入场景

随着云计算的普及以及企业业务高可用需求提升，企业通常采用多云、混合云或多数据中心架构，在不同的云和数据中心上部署不同的业务，此情况下企业缺少跨云/数据中心的统一资源安全访问能力。
1. 多云/多数据中心边界模糊，边界 ACL 的访问控制模式遭遇瓶颈
2. 用户访问分布于多云/多数据中心的业务时，需同时连接和统一权限控制
3. 各云和数据中心
在零信任安全中，以身份而不是网络为中心，具备统一接入、统一访问控制和权限体系，提供一致的访问体验。
物联网场景

物联网设备数量/种类众多
1. 计算能力、网络拓扑等方面差异性大，异构问题严重
2. 多代设备并存
在零信任安全中，通过采用物联网安全代理的模式，隔离物联网终端到后台系统的访问，终端监测和安全加强可以在物联网代理中实现，物联网代理以软件模块的形式部署在边缘侧，可依据安全需求动态升级。

在专项安全防护需求方面，主要包括数据安全防护场景、密码应用场景和安全攻防演练场景：

数据安全防护场景

随着数字经济蓬勃发展，数据安全关乎国家安全，成为企业安全经营的生命线，数据安全风险主要来自
1. 人员安全意识薄弱或恶意行为带来数据泄露风险
2. 访问终端/IT资源因存在脆弱性导致的数据窃取、数据丢失等事件。
零信任安全依托数据安全治理结果，从数据层面进行细粒度的访问控制，基于数据属性和访问主体属性，构建动态策略管控体系，进行持续的数据权限分析和策略运营，最小化授权数据访问和使用，提升数据安全性。
安全攻防演练场景

通过模拟真实网络攻击对政企单位安全体系开展检验：

大量业务暴露在互联网
访问凭据易被爆破和窃取，监控手段有限
缺乏内部流量管控，横向侧移难以被遏制

零信任安全能够有效缓解上述痛点，一是业务隐藏在安全网关之后，攻击方无法扫描端口和漏洞，无从发起针对性攻击；二是多维信息评估，基于设备指纹等多种信息进行认证与授权，保障连接、设备及访问环境等的安全；三是对内部流量进行隔离和访问控制，通过精细化的白名单策略，实现内部暴露面大幅缩减的安全目的；可深入洞察内部东西向流量，及时发现并阻断攻击方在侵入系统后发起的横向侧移行为；同时，零信任安全还可以保证实战化演习或网络安全重保等特殊时期，与日常使用保持一致的、连续的安全策略。

密码应用场景

密码是国家重要战略资源，是保障网络与信息安全的核心技术和基础支撑。某些重点行业为实现相应密级保护，需要更换密码算法，然而密码算法的替换涉及客户业务的大量改造等问题。

采用基于零信任安全网关进行加解密的方案，通过在终端部署代理，在服务器前端部署零信任安全网关，终端 B/S 业务通过调用代理实现报文加密及通道加密，服务端通过网关进行解密，以减少业务系统改造的工作量。

3.2 企业产品情况

随着零信任不断发展和成熟，企业用户基于自身业务特性和安全需求，选择不同场景下落地实施信任，在《零信任发展与评估洞察报告》报告中，对国内36家企业进行调研分析，得到企业的零信任产品相关的安全能力的指标。为了分析零信任场景在具体的应用场景以及应用情况，也对企业进行了统计。

来源：零信任实验室和云计算开源产业联盟

远程访问是当前企业实施零信任的主要驱动和优化选择，远程办公、远程分支机构接入、远程运维三大场景占比居前三，总占比达46%。同时，远程办公场景中，77%的提供商提供BYOD零信任安全能力，满足企业员工在设备多样，接入便捷等方面更高的体验需求。