零信任发展洞察报告

目 录一、 零信发备关注 3零信发呈下点势 3零信产形向而的平化集化进 3身份理层上更安全力合 3身份息透务问程 4南北流与西流统一管 5零信相政与准现，动业范展 6二、 供应的信能生逐渐熟 9围绕大域力建产品系 9零信能供生丰富 11持续升品动力加快现架融合 15三、 行业用断化零任市步成期 18零信市近年持增长势 18不同用景步现信任地 21四、 我国信产发展望 23图目录图1身信与类工具事信贯通 4图2身信穿业问全程 5图3统整基设策略理 6图4我零任应展路径 12图5供侧SaS情况 13图6供侧信安力 14图7身安产联况 16图8安管产联况 17图9终安产联况 18图10供侧业地信任户量间 19图11微离产纳工作载数 20图12软定边类品纳员总数 21图13零任用境况 22图14落零任用景情况 23表目录表1外信相政策 6表2信能域能项 10一一、 零信任发展备受关注零信任发展呈以下四点趋势零信任产品形态向大而全的平台化、集成化演进零信任从为企业解决部分安全问题向解决整体的网络安全问题发向架构平台前一当企业选信任主解决数据中网络接入的题但企业云算使模逐步升安全边的粒步细化全风再以网分隔安全域划而以问的业为维行划仅决络安全入并不能满业务需求需贴合的身份解决访问全路风从而整个企网络全问另一安本身在企业一种的能力集的合的安能力成平台的、中台化产于零信理念构性平可在安全终端安全据安络环境全负载安等方供全方的防护。身份管理分层之上与更多安全能力结合零信任为了基础设的变化了应对边界网络安全威出现段零信基于主体身为访程提供的安保障图1所示一立身份理分零信任逻辑上建立一张身份的络人备作载等实唯一身份标于份对访主体动态访控是在身管理分层之建立管理分更的安全力进排统安全工缺访问身份识能防火墙能识问主体I而IP并非访问唯一身标识此诸如火墙的传统全工具无确定主体身份零信构下将统安力与身管理分层同编通过编链共份信实基身份的全分层以针问过程现动问控制。来源中信通研院202年12月图1身份信息与各类安全工具的事件信息贯通身份信息穿透业务访问全程通过应改造身份信“穿务访问程图2所示当应访问中的身调用断的例当用过零信网关访问应用前端应可以访问主的身当应用用端数据时会立新的话连数据库角所应用在行务调此时过程中身份已中零信构下应用应携带访主体份信息数据起访问据库略决策将基于身进行和执行略的默不信前应用诸如端应后数库等检点都备策略行能因此需对应用进行造以身份信穿透访问全。来源中信通研院202年12月图2身份信息穿透业务访问全程南北向流量与东西向流量统一纳管统一整基础的策略理弥信任网访问隔离在物理拼后留防护断如图3所示物理拼易留下在安威胁例如通过零任网外暴露，b服务对外露后端据库外暴露所有部访问b的流受零信网关上相应策略的管控，此处需设计一套面向南北向流量的管控策略eb服务与端据库通微隔行网络分数库工作载设置制，许从eb服务的流量行，需设计套面东向流策略一旦意作负载生变两套策需要同时修否留下防断层解决上问题统一基设施的流量略，使用一策略网流量行管。来源中信通研院202年12月图3统一整个基础设施的策略管理零信任相关政策与标准涌现，驱动产业规范发展随着零任落商业模走向熟零信任逐渐政府企业数化转安全首战略在近五都出零信任关政策，加快任部署地，字经济速发航。以美国首的国家高重视任能力设。表1所示，自09年起，陆续发零信导建议计划动零信在美落其发国家也纷在任领域开布以强化络空间话语22年1月2日美国防部发了《国部零任战略《防零信任力执线图划在7年之前实施战略和关路中概述独特信任能和活。表1国外零信任相关政策时间政策发布组织名称侧重点美国019.04ACT-IAC（美国技术委员会-工业咨询委会）《零信任网络安全前趋势》对政府机构采用零任进行评估019.07DIB（美国国防创新委员会）《零信任安全之路》指导国防部实施零信任架构019.07DISA（美国国防信息系统局）《DISA战略计划2019-2022》明确DISA网络防御战略重点为零信任019.10DIB《零信任架构（ZTA）建议》建议将零信任实施列为最高优先事项021.02DISA《国防部零信任参结构》1.0建议DoD下一代网安全架构基于零信建设021.02NSA（美国国家安全局）《拥抱零信任安全模型》提出渐进式部署零信任方式021.05美国总统拜登14028号行政令发动联邦政府迁移上云使用零信任架构021.09OMB（联邦政府管理和预算办公室《美国政府向零信网络安全原则的迁移（征求意见稿）要求各机构在2024前实现具体的零信安全目标021.09CISA（网络安全和基础设施安全局）《零信任成熟度模型（征求意见稿）细化五个“具体的零信任安全目标”021.09CISA《云安全技术参考架构（征求意见稿）推荐采用零信任辅助迁移上云022.11DoD（国防部）《国防部零信任战略《国防部零信能力执行路线图》概述国防部计划如在2027年前在国防范围全面实施零信网络安全框架英国020.10NCSC（英国国家络安全中心）《零信任架构设计则》积极响应美国零信任战略，为政企机构施零信任提供参考加拿大021.03加拿大政府部门机构-共享服务部《网络与安全战略》采用零信任等新方法支撑未来网络服务新加坡021.10新加坡政府《网络安全战略2021》要求相关机构实现边界防护向零信任全模式转变来源公材整理我国加政策推动信任目前国正政策行业实产发等多个面对任进行极探工业和息化部通过种举导零信发展以推动信任研究和术创新为期加零信任术推动目落具表现一，发布《络安业高质发展行动计（2123年，重点围绕加快开展于开发全运动免零任等架创新技发展络安全系研加快发动态防护技鼓励企业化微软定义界全访问务边架等技产品应用”等内容展开。二是，多个零信任项目在试点示范项目名单上发包“22网络安技术试点示项目单“1年大数据业发点示范目名等。我国已多层动零信标准协助建产业范为落实国家络信全相关求我从多层开展任标准究国际标方面中国企主导的I-（国际电联电信标分局零任国《服访问持续保指南式发布国家标准方国息安全准化委员会在开信息安技术零信任考体构编制行标准方中信标准协会二、 供应侧的零信任能力生态逐渐成熟正在开面向算的零任体系第2部分关键能求《云计的零体系第4部分熟度评模面向云算零信体系第5部分：字身全能力求》零信任二、 供应侧的零信任能力生态逐渐成熟围绕六大领域能力，建立产品体系对于网攻击需要找整个防护的个脆即可网络而作络安全护者要进行体的因基零信任念展安全防不单调技术是强决了哪领域的安问题。本报告零安全能涵盖领域如表2所数身份是基础组件、是核心，联合网络环境安全、终端安全、数据安全应工负载和安全理五键能力同赋业整体全防御。数字身主要用户身不统以及T架构所对象数字身份缺失、不合法等问题。一是，对接入用户、组织架构、设备应赋唯一标识并对数身份进全生期管完成身份的动化二通持的身份证访问主在整个资源问过身份的法性。网络环安全解决威的横动以传输据窃取问题一是将源划分一个小的网分段分段间过略隔离阻的扩散二网络传链路加密保数据传过程安全性。终端安主要使用移终端难以对备进控以不同终的安础不同引入等问一终端威检测现终端状况可二对所有入企络的移终端进行纳实现BD可控三是立终端线对不符合线要的端可。数据安主要数据资安全无法差化及据在用输和存程中意泄露题是过据分类范关联关再数据分实现防护策的差二通数据脱、加审计等术手低数据露的性。应用工负载主要解两类问资源安全题包括容器虚机等础施资源以及用统I等应用资一是，通过安基线漏管理入检测等术手辅以计资源纳管清单、供应商名录等管理手段对基础设施资源进行防护；二是在应用发阶入安全测流程已发布用提类恶意击防护手，以续验证用执动作是符合限。安全管主要各安全件无动处置胁量透明等问题。一是，通过编排将各安全工具的能力以某种逻辑组合在一起联动进威胁测与响是动各安组件可视化式展示监指标便快速位威。表2零信任能力域与能力项能力域能力项身份安全身份管理身份认证访问控制身份风险评估终端安全终端资产管理终端安全基本要求终端防护网络安全网络隔离网络流量加密网络威胁防护应用工作负载安全计算资源安全研发运营安全应用威胁防护应用访问控制数据安全数据分类分级数据防泄漏安全管理安全编排和自动化威胁检测与响应安全事件管理来源中信通研院202年12月零信任能力供应生态丰富用户访和工载访问产品的两条键路户访问需要对据中外的南向流行访问制工载访问要对数据心内东西向量进问控制者安护位置同逐渐形不同任产在本的调查计中图3所示提供南北流量防护能的厂占多有9的信任供侧企业可提供（eoutetokccss，零任络接，对四层量进护在这企业中又有4的企业提供A（eoutpictonccs，零信应用接可对层流量进行防提供向流量全防力的厂较少有25的企业可提供隔离力但是这企业有95和1的企业支持A和A形式提供北向的安全护。来源中信通研院202年12月图4我国零信任供应侧发展路径SaS化零信任在国内普及仍面临企业上云比例低等诸多挑战，但已有七成任供应企业提供aS化的任服务与本地署相aS化的零信有大优势一是化交付交付更加捷及更强合中型业部署降低户用门槛二是自维护低户无需维系统三可利用网自身优提供以外的值特如出海问加四连通性强通云的提供接点对云上务进问然对于国内用户而言，尤其是中小企业，安全需求的刚性尚且不足“零信任乃“都一定买点S化零任的推更是面临诸多一国内部企业的务部内网云接入的优势为劣用户从P点接再访问据中部业存在流量绕问题是aS化产品提供业侧的能力，化产品然解云上业的网入便利问题络方面了安全性，但实际上在安全攻防领域，安全威胁多发生在近业务侧SaS化产鞭长及三无法制需求业内业环境存在差异性而aS产品提的标产品，功能上难以足用个化需尤其在内头业的定化需高是对云上数据全性虑国内数企为公有上数受控难开展安全障。告对国零信应侧企的aS供应能进调查果如图4所示有6.4的零信任应侧支持本化部有14的企业支持提供aaS化的零信服务便SS化零信任品在的普及面临挑战但内零厂商已超7成在SaS化上行了投。来源中信通研院202年12月图5供应侧SaaS化情况自21年起本告便已于选六大安能力国内云厂商安厂商专精型信任提供的信任解决方展开调研年是去年调的基对结果行了结果如图所。来源中信通研院202年12月图6供应侧零信任安全能力国内零任赛争激烈家都不同领寻求突破一在端实现安全功能越来的客户望通个客户解决C终端全的题上安检能力防泄洞修复备受重视。二是在端上建立可信安全环境以保护数据安全。疫情之后远程办需求移终端访企业业数据刚需通过软件定义界与沙箱相合的式将零信的能伸至端成一种的解案。持续提升产品联动能力，加快与现有架构融合零信任企业的安全护能该能相融合已有的安全工不应信任的用而而该得能的提零信任控制引擎为了更精准地下发策略，应与企业环境中的身份安全类安全分类、安全类品进动：身份安类包份管理身份能力一方任从身份源同用户建用户份访问过中使设备访问的资源问行之间的系用户画另面零任可以将身认证源评估合实态地认证本报研了零任供应侧业的与用户境中份安全品联力结果图6所示。超七成零信任供应侧企业支持与第三方身份安全产品对接企业可提供自研身份安全产品，同时其零信任产品支持与第方身份全产竹云拉芯格大正元金智等进行接有14企业不具备身份安产品支持与三方身份全产接有5企业持客户用自供的身安全产品，还有71企业无法与客户环境中已有的身份安全产品进行联动。身份产品展投入信任供侧企比超过反向说同质争激并每都能将信任领域做各家避同质争建立术壁实现合共赢。来源中信通研院202年12月图7身份安全产品联动情况安全管类包全事件信息聚体行分威胁检测与响等能一方通与体行为析工合可获更安全风信息访问主的评更加准另面信任威胁检与响具的结为策行提供更丰管控手段本报告调研了零信任供应侧企业的产品与用户环境中的安全分析产品联动能果图7所示半企业的信任支持与户已有的安运营态感知威情报等全分统联动占536，也有357的企业仅支与家的安全分系进行联动，有107的企业不支持安全系统联。来源中信通研院202年12月图8安全管理产品联动情况终端安类包端安全测与以数据全能力一方面收集终境信并根测结果终端管控另一面过技术实现数不落以保护据安本报告研了零信任应侧的产品用户中的终产品能力结如图8所示信供应侧业在安全展投入多第三对接率低尤显的一数据持与自终端产品联的企业占比93一数据身份领域为5一面说明端安全的要应侧企纷纷投入另一面明与第方端安全品的仍面临口协法统一困境自家与三方如腾北安奇安深信服启明青藤企业的终端全产行对接仅占比21此外也超成零信供应侧企支持终端安产品任供应企业端安全投入超过全管产品与份安产品主原因份认证身份管理使用具有国家准而终安领域存标协议缺，有过生态接口解决。来源中信通研院202年12月图9终端安全产品联动情况三三、 行业应用不断深化，零信任市场步入成长期零信任市场近三年呈持续增长态势经过多发展信任商模式成熟场逐模化已经在各行业落地阶。在2年，以PN替换主要目，国内的信任商在用侧拥一个切落地点时在今年的全攻动中零信防效果优到众多企的认可。在来，更多企选择任作为安全架构。金融与信行近三年地零的客户年增报告研了09年至02年三年间零供应侧业服的金融户数量区，结图9所示。一，在金行业，9-20年间仅有9.2零信供应侧业为客户落过零这一据在20-21年间与0122年间分达到了07与21越来越多的金机构零信任构所的安全护能另一方电信行，1920年间有21零信任应侧为电信落过信任与融行业比低71这一据在2221年间与2-02年分别为9与57，电信行业两年落势头较猛超过行业。落地0家以的信任供侧企据主流多数用户仍处于应研究阶段。调研年间落用户区间-0的企分占比行业为55.7和50信行业为3528%和50也一行业专型的存在客量超过0的情况年在融行占比分别为535和35电行业占分别03.7和74可以看出0年零信任才始国内安全圈得普及产经过两的打磨户对这理念初步了开始积的在域展开购。来源中信通研院202年12月图10供应侧企业落地零信任客户数量区间微隔离产品情况呈极分化与行业关性本报调研了2-22年间供微类产品零信应侧企所纳管用户工作总数，果如图0所示。支持微隔离力企业中金融业纳管作负数低于0的占比2.8高于100的占比28电信行表现纳管工负载低于00占比25，于00的占比5。将近半数侧企业微隔离在业内展试点作或开展同也有数企业行业进了规的落地践。来源中信通研院202年12月图1微隔离类产品纳管工作负载总数软件定边界品应用力部客户进入阶段报告调研了122年间提供定义边类产零信任应侧企业纳管的员工数，如图1所示。融与电行业中纳低于0人占比最高为522和619剩余半数涵盖0-00不等，结合信任落客户的统计果，即在0102年间金融与信行有50零信供侧企业地客户数间为0家，推每个使用基软件边界纳员工数量低于0甚更低0人已属于型企业因此各内的中企业落地软定义类产品中流此电信行业管工0人以上的比33，金融行业有174，电信行在零领域的入与势头相金融略高一。来源中信通研院202年12月图12软件定义边界类产品纳管员工总数不同应用场景逐步实现零信任落地将零信应用公环境用户选择本告调零信任供应侧企业服务的金融与电信行业客户应用零信任时的环境选择情况如图2所示金融行业1应于办公境8.7应用于发测试环，仅有18应用于生产。电信行业81应用于公环境7.6应用生产环境68应用于开测试金融行业生产环承担心账务统的营数据资安全性尤为要在生产境的更显谨。来源中信通研院202年12月图13零信任应用环境情况远程办公、远程运维、多分支机构互连为用户主要使用的场景总比过半数报告调了金电信用落地任时使的场景，布如图3所示。方面程办公景是企业实零信任的要驱优先选在与电信业占别达到25%和35其是程运维多分连金行业运维场占比14较多分互场景的3.2略一些，信行程运维景占比105较多分互连场景的25略少，信行多分支连的需求上金融更高一另面云合战略是前业实施信任场景，融行用多云混合景占比仅和45电行分别为36和47大数企不备在云生环境