安全牛：现代企业零信任安全落地实践应用指南 202212

本报告为安全牛撰写，报告中所有文字、图片、表格均受有关商标和著作权的法律据采集于公开信息，所有权为原著者所有。未经本公司书面许可，任何组织和个人不得递本报告的全部或部分内容，不得将本报告内容作为诉讼、仲裁、和其他法律法规以及有关国际公约的规定。未经授权或违法使用本报告内容者应承担其行为引起的一切后果本报告中的行业数据主要为分析师市场调研、行业访谈及其他研究法及样本、调查资料收集范围等的限制，本报告中的数据仅服务于当前报告。我司究方法，使用合法合规的信息，独立、客观地出具本报告，但不保证数据的准确性告的数据和观点承担任何法律责任。同时，我司不保证本报告中的观点或陈述不会特殊的目的或需求。任何出现在本报告中的包括但不限或因依赖本报告而引致的任何损失承担任何责任，不对任何因本报告提供的资料不充目录第一章国外零信任安全实践 7 7 8 91.4国外代表性的零信任安全厂商 第二章我国零信任的发展 2.1行业标准化进展 第三章技术应用发展状况 3.4信任评估和最小化授权 3.5身份管理架构持续演进 第四章零信任安全架构实践 4.5微隔离技术的应用 第五章零信任安全落地应用指南 5.3零信任安全建设成熟度模型 第六章十大典型应用案例 6.1政务大数据平台零信任访问管理解决方案 6.2特大央企零信任实践案例 6.3大型央企零信任安全体系建设 6.4央企一体化零信任安全办公解决方案 6.5互联网科技企业数字化转型的零信任实践案例 6.6大型互联网企业零信任云网安全解决方案 6.7能源行业的零信任实践案例 6.8金融用户远程办公零信任改造方案 6.9银行数据安全访问与流通的零信任应用案例 6.10移动通信运营商的零信任应用实践案例 第七章演进趋势及未来展望 第八章国内零信任技术代表性厂商介绍 云网融合技术的广泛应用使企业边界不断延常态，特别在疫情之后，云上生活也逐渐变成了人们的国内的实践者们也加快了零信任能力成熟度及组件开发的进程并逐渐将但零信任安全并非一款产品级的解决方案，相比传统的边界防护和流通信网络和设施在耦合性方面也更密切，这使得零信任安全的落地实施难度比传统安全为一种新的网络安全架构，在面对数字化转型的安全建设中还存在更多挑战。本报告继2021年《现代企业零信任安全构建应用指南》后，进一步洞见国内零信任安全发展中的新型解决方案，分.64%的用户认为零信任已经过了技术验证阶段，但36%用户仍然认为还处于零信任架构及基础能.零信任落地的过程中，除了安全架构，更重要的是要解决好终端安全问题，端侧的安全能力越丰富.没有单一的产品能够完整适配零信任的理念或架构，零信任与企业现有的安全架构（如纵身防御体.零信任要发挥它的价值，要把原来烟囱式的多个安全系统整合起来。但是因为目前还缺乏安全能力.SIM（SDP,IAM,MSG）作为零信任最有影响力的三大关键技第一章国外零信任安全实践网络经济在各个国家发展极不平衡，网络安全的重要性也存在很大的地域性差络安全理念，在国际上有影响力的推动者主要有美国、中国、以色列。其非常相似，作为无法利用国防部零信任草案中所述能力的非国防772021年6月，美国网络安全与基础设施安全局（CISA）发布零信任成熟度模型草案，借鉴了国防部和88制定网络安全标准，实现具体的零信任的安全目标，以增强政府应对日益复杂的网络环境和持续的网络威胁能99随着混合办公的深入，国外越来越多的安全厂商正在提出以ZTNA2.0来支持ZTNA战略，目的是解决•Zscaler，是美国一家提供云安全解决方案的集成商，也是零信任解决方案的积极推动者。认为第一代ZTNA重点是支持最大范围连接能力，保证•Checkpoint，以色列具有传奇色彩的安全厂商，零信任的代表性方案是基于SASE架构的Harmony的实施者。它将SD-WAN和网络安全融合为覆盖全球的云原生服务，为企业优化全球分支机构的连接，同时•Forcepoint，是Websense在2016年进行业务重组后更名的一家新公司。零信任的代表性方案是第二章我国零信任的发展在远程办公及混合办公的市场需求下，为加快零信任在行业的落地应用，行业协会、标准协会与厂商联合推进了行业零信任安全相关的标准化工作，在过去一年取得了明显进展。这也标志零信任在行业的落地应用即■2021年4月，信通院牵头启动了基于云计算的安全信任体系系列标准的研究，包括总体架构、零信任安全能力要求、SASE能力成熟度和数据保护工具要求4部分，总体架构目前处于征求意见稿状态，其他处准重点分析服务访问过程中的安全威胁，规定了检测异常访问活动的安全保护措施以及服务接入流程的安全要■2022年6月，零信任的国家标准《信息安全技术零信任参考体系架构》征求意见稿发布，从立项进根据2022年安全牛全景图调研，零信任作为相对比去年新增了37%，是除数据安全外增长最多的细分领域之一。调研中也发现，零信任与传统安全能力及行在本次报告公开调研的参与者中，来自互联网企业的占27%，教育/科研机构、金融/投资企业各占18%，通信技术行业占14%，互联网零售/服务业占9%、工程制造和交通各占5%，政府占4%。其中，面向用户的调研数据显示，64%的用户认为零信任已经过了技术验证阶段，其中1熟度的观点更为乐观，认为处于了产品标准化甚至更成熟阶段；但36%的用户仍然会认为还处于零信任架构■近8成的受访者认为零信任的关键技术及核心组件都已经得到了充分研发，并且基于ZTNA的架构在如何将技术应用到产品中取得了很多实践经验，产品间的系统化及环境适配方面也在实践中获得了有效解决方案。其中，公安、金融、运营商、能源等对网络安全重视度较高的企业，对零信任理念的理解都比较好，并且能够接受零信任用于生产环境中，这部分人认为零信任的理念和技术在国内都比较成熟，未来更多是需要在不■对于零信任技术的高阶追求者，大多聚焦基于身份构建来实现可编排的零信任管理架构，自适应的风■为了在零信任的架构上更好的实现上下文的安全评估，目前阶段，国内更多厂商在将零信任的研发投入集中在终端的安全管理上，致力使终端的基线配置、行为管理、数据安全、应用隔离打造的像中心一样足够零信任理念覆盖网络空间的端、边、云等多个领域，应用的技术类别也非常多样，这给不同安全能力的提供商提供了均等发展的机会，可以从不同的技术方向开启零信任安全的演进之路，产业也出现了“不同技术流服务端代理的ZTNA模型（S-ZTNA）四种。其中，身份安全的代表性厂商借助身份管理平台开发的优势，在零信任演进中多主张一体化的零信任解决方案。但由于零信任技术路线的多样化，其它技术路线的厂商基于身份管理、访问控制网关等组件的成熟度较高，实践中也常通过打造独立的SDP控制中心补充策略管理和信任零信任落地，要基于场景解决问题，结合业务在网络空间分布的现状，用一体化的零信任解决方案，使每零信任是伴随企业网络结构升级的需求出现的。因此，零信任对于企业来说，最核心的变革是让网络底层零信任落地的关键是做好持续信任评估和授权策略，相关产品不仅要有第三方权威机构背书，还要有实战零信任落地中，除了安全架构，更重要的是要解决好终端安全问题，端侧的安全能力越丰富对零信任的安动态多因素认证是零信任落地的核心要素。基于用户访问行为构建每个用户的行为画像，千人千面，异常没有单一的产品能够完整的适配零信任的理念或架构，零信任与企业现有的安全架构（如纵身防御体安全SASE在国内落地需要根据行业政策进行变通，每行业的方案也会不一样，有的侧重于终端防泄露，有的零信任最初是在身份鉴别方面可以满足等保建设要求，但也对通信传输和计算中心做了扩展，同时等保作零信任的本质是基于身份，建立策略驱动的自适应动态访问控制体系。零信任的落地一定要结合客户业务第三章技术应用发展状况关键技术进行了实践，相关技术、架构成熟度都进入了快速发展阶段。根据Gartner发布的最新的《Hype相比2020年向前跨了一大步，是过去一年我们关注的安全技术类型中演进最快该曲线中没有提及NIST定义的零信任的其它两个关键技术增强身份治理（EnhancedIdentity在混合办公的市场驱动下，SDP的标准和应用实践都得到较快的推进，CSA也于今年4月以上技术的演进及发展过程我们可以看到，零信任架构落地的相关技术基本都要经历过相当长一段时间的证或约定的序列碰撞来动态创建端口访问规则，在首包验证通过后会立即将访问连接转移到其它端口，以收缩SDP实现的一项关键技术，并在最新发布的SDP2.0中对其进行了优化，将SPA访问请求的首包协议由TCP（2）理论上，UDP端口不需要响应请求，并且除SPA包验证外也没有其它业务，可规避TCP端口受杂度，有的试图通过模拟DNS解释包的方式来避免敲门包被丢弃。因此，理论上动态端口策略能有效收缩暴露面，但其实现的可用性、可靠性仍需要充分的工程验证，因为安全并不总是你能想到的安全，有些时候此外，在SPA首包验证后，业务端口仍然要外化并接收客户端的连接请求。SPA作为会话连接前的预认证仅能解决首包信任问题，不能替代业务或资源访问连接的认证。因此，有效的解决业务端口暴露面问题，在单点登录（SSO）和多因素认证（MFA）是零减少了人员WEB登录和访问的复杂度，已经在各类规模的企业中被普及和应用，目前国内多数政府官网、学调研中，60%的用户反馈远程办公中采用了单点登录的方式。但在认证方式上，仅45%的用户表示使用的是多因素认证，其中，9%的用户使用的是SSO+OTP，有4%的用户在多因素认证中用了生物特征。这与是通过提高验证复杂度和降低使用体验，提高身份验证的准确度。但这一理念与人类努力通过提高易用性和便捷性让网络体验更美好的愿景相悖，所有企业都需要在可用性和安全性之间进行权衡。一份关于身份和访问管理成熟度的调研报告显示，在MFA的应用中，用户总是倾向使用体验更多一些，而不是更安全。因此，提高无密码验证旨在将显式密码用隐式密码的登录验证方式进行替换。相对显式密码在网络空间中被窃取的概率低，被认为是一种安全的验证方式。但访问发起方需要随身携带验证实体，典型的有生物特征、动态口令■生物特征验证■OTP验证本，而是将密码管理替换成可以产生动态口令的生成器，通过定期轮换或“一次一密”的方式动态生成授权访问的令牌给访问主体。这可以确保没有人掌握远程访问的登录密码，能更好的实现无密码化。随着便携终端的■UEBA验证知正确的行为建模。当用户发起访问请求时，系统将实时采集的登录特征值与预置的正常行为模型比对，同时采用多维度关联分析、异常行为分析等技术确保访问请求主体身份的正确性和操作的安全性，对提高账户安全■FIDO验证FIDO是一项拥有国际标准的多因素认证技术。基本原理是通过公私钥签名/验签方式进行身份鉴别，但3.4信任评估和最小化授权持续信任评估和权限最小化是零信任的基本原则，其目标是使主体的信任等级和访问资源之间能持续保持适度的访问权限。分别对应零信任架构中的信任评估引擎和访问控制引擎，也是实现零信任细粒度访问控制的应用中，持续评估和权限最小化都应遵循适度的原则，过渡或不足的细粒度追求都不能有效提升零信任安■信任评估能力建设的成熟度模型信任评估是假设在ACL规则不可信的情况下，通过建立一种全向量的动态风险评估的系统来提升访问策∑访问实体*扩展信任因子为实现细粒度授权，信任评估引擎的计算结果要数字化并按级别与所有可识别的权限之关系。为保证可信计算的可扩展性，每个因子的信任计算模型和授权策略应该考虑独立设计。实际应用中，不同场景主体身份验证所用的实体不同，有的甚至需要进行组合乘法计算，相同实体不同场景采用的验证方式很■最小化的授权机制原则上，零信任的授权机制，在业务场景不变的情况下，访问控制引擎的计算机制不应受企访问主体和客3.5身份管理架构持续演进业务关联与变化的复杂度，已经不是单一业务认证和权限管理可以支撑的，也不是相互割裂的多个认证-权限管理系统的简单堆叠，而是用统一身份视图构建满足企业多业务、全量身份的管理平台，这目前已经成为零信验证方式、协同机制等不同维度在纵深方向都得到了很好发展，形成了比较庞大且相对成熟的技术体系，如图但随着数字空间、网络安全空间对“信任”需求的增长，对身份认证及访问管理的技术体系从身份管理的第四章零信任安全架构实践国内零信任领域的践行者在国际参考框架的基础上，基于■S-ZTNA模型客户端和服务端分别与ZTNA平台建立连接通道，相互之间没有直连通道和暴露面，典■SASE是以SaaS化的方式提供边缘连接的安全访问服务，代表性厂商多为具备安全基因的广域网连求，为其提供安全认证并以桥接的方式在访问请求的主体和客体间建立链路连接的一种访问模型。它由完全独立的控制面和数据面构成，如图18所，控制中负责身份认证，数据面负责业务连接。SDP是客户端请求访问请求总是由完全独立的客户端发起，SDP控制器接收访问主体的访问请求，对客户端的访问主体进行身份认证和验证，认证成功后会向请求的客户端返回准入标识符，用于建立数据面连接。数据面采用SDP网关作为请求主体与资源连接的门户，在收到携带准入标识符的客户端发来的连接请求后，以透传或代理访问的方式帮助访问主体和客体建立访问连接。SDP控制器会在该架构中，细粒度授权和访问控制分别由•Proxy一方面接收服务端的请求，实现企业对外共享或发布资源的注册；另一方面，接收客户端发起的该模式下，身份管理不仅要支撑客户端的身份验证，还要统筹服务端的应用、服务程序等注册资源的身份管理与风险评估。因此，对身份管理的覆盖能力和细粒度要求会更强。由于该访问模型对复杂身份管理功能的•适用于开放型业务访问的场景，如电商平台、多中心或企业并购要进行网络重组互联网企业，对ZTNA目前企业内部B/S,C/S架构服务混合应用加剧，并且从未来看这种状态应该会持续存在。因此，多数企业在远程访问中需要同时具备客户端型和服务端企业服务云化、去中心化是数字化转型发展的重要趋势之一。这种环境下企业安全的重心需要转移到云计云交付的SaaS化的安全访问服务。目标是为分布且混合办公环境下的用户/设备安全的访问互联网或云端服实现这一目标的关键是能够对分布部署的服务进行有效的、细粒度的管理和访问控制。它需要具备三个核；（；（筹业务之间端-端的连接。因此，SASE的本质是一个以身份及风险管理为中心来提供广域网业务连接服务的及一定比重的安全管理和可视化能力。但所有安全能力都是为更好支撑业务连接服务，而不是提供独立的安全（二）结合SD-WAN技术为企业构建安全可靠的链路传输。典型的行业用户以数字银行、智能制的环境中构建的具备自协作效应的安全生态系统，其目标是为企业安全运营提供一套完整的可自定义的、自适4.5微隔离技术的应用微隔离是实现零信任细粒度访问控制的关键技术之一。其目标是使访问策略与IP解耦，将一组无法应用网络访问规则隔离的资源做进一步细粒度划分，使主、客体之间能按更细粒度的访问规则进行访问控制。但微对云计算、IDC数据中心的应用、微服务进行东西向隔离是微隔离最初的定义。但实践中，微隔离技术在东西向访问控制中的微隔离应用，主要是对微服务之间、微服务与容器编具体体现在API调用、数据流控等特殊的控制规则。由于微服务之间也常采用IP通信，所以，实践中的东西移动通信技术的广泛应用，使企业的网络安全建设逐渐从中心转移到终端设备。原来以中心防护为主的零信任安全架构，也将安全从中心延伸到了边缘，结合终端设备基线检测、入侵检测/防护、审计的应用，提升随着终端算力的提升，去中心化的网络结构逐渐显现，终端上数据、应用等“软资产”的安全对企业越来越重要。这促使微隔离技术在终端上得到了广泛应用，有的称虚拟安全域，有的称安全工作空间。其原理都是通过沙盒的方式为端点上运行的程序、数据提供隔离的计算环境，使应用和数据受到更严格的保护，避免重要的应用程序遭受非安全环境的攻击，隔离域内的敏感数据被泄露或污染。技术上与中心的东西向微隔离技术有典型应用场景包括端点采集、端点计算、流动数据管控，用户主要集中于数字银行、金融券商、军队、医对云计算中心的敏感数据，有新兴数据安全厂商提出了数据安全管控平台的方案。它借助零信任理念整合了传统数据防泄露、脱敏甚至隐私计算等数据安全能力，对网络中流转的敏感数据进行泄露防护。这与远程办公的零信任方案有异曲同工之处，可以更好地对数据中心进行统一安全管理，是数据中心远程访问安全的重要第五章零信任安全落地应用指南有人说“用户想要的安全并不是他告诉你他今天想要的东西，而是期望得到一个能够帮助他持续保持行业领先的东西。”，零信任应该就是具备这种潜力的一种理念。相关技术及架构的实践让我们看到了零信任建设梳理、授权/策略管理，如图23所示。其中52%的用户更愿意以商品化采购和自建为主，43%的用户表示尽管目前阶段，零信任在进一步追求精细化能力上、标准化产品构建以及未来安全能力的无缝衔接上面还存在一定程度的挑战，但技术架构上，替代传统VP面还是具有较高的可操作性。根据国内外的实践经验，我们总结了建设零信任安全从技术实践到转型需要历经零信任的落地建设要建立在遵循零信任基本原则的基础上，但也要考虑充分的技术实践、互操作性验证以指导后续的架构规划和方案实施。从产业调研和技术发展成熟度中，除了部分高阶的细粒度访问控制能力，零信任实践已经过了技术验证阶段，产业对落地零信任各类架构的实践，使我们进一步了解了不同架构的优势特目前阶段零信任的互操作性验证还不足，解决方案多处于快速迭代期隔离控制、传统业务的零信任改造还是全新零信任应用，建设过程中都或多或少要引入一定程度的定制化开发转型还是小规模的改造，规划前，找到与企业的行业类型和规模相当的实践案例能有效规避架构选择和建设实安全是企业未来数字化发展的基石。安全架构要具备一定的安全扩容和持续演进的能力，才能为企业的快速发展做好支撑和保障。因此，对于计划向零信任转型的企业，架构选择至关重要。架构规划时，架构设计师或CSO需要充分了解企业的组织结构和运营模式，包括企业未来五年的扩展及并购计划，这可以帮助企业更•对于中心防护需求为主的中心化运营企业，未来业务规模变化不会太快的企业，选择C-ZTNA选择合适的安全架构后，需要进一步指定相关责任人或责任部门为安全架构实施中心防护需求为主的零信任方案，多通过自建或委托安全供应商提供能力建设，企业自行运营。建设过程中业务系统的对接是企业和建设方双方共同的痛点。业务资产由于其形态、部署位置、权属分散等方面的特殊性，梳理起来不像硬件资产那样清晰，甚至企业自己的管理员也无法给出全息的业务资产数据，使零信任建设要素对接更加复杂的。即使在有业务明细表的前提下，也可能会存在诸多变化，甚至要修改业务对接接口。因在业务应用访问策略时，原则上要保证所有业务在接入零信任平台前都不能拥有对外访问权限；其次，仅对业务负责人明确的访问要求应用访问策略，避免访问权限过大；最后，策略应用完成后，要让业务人员确认在访问控制系统中流量不能旁路，一旦出现故障就会引起业务中断。因此，相比传统网络安全产品零信任访问控制系统的高可靠性、鲁棒性也是企业用户非常普遍和现实的需求，甚至在落地中要求有一些可靠性的建设方案来保障。所以，不管是旧系统迁移还是新系统重建，正式上线前，都需要给系统预留足够的时间确定系因此，零信任安全系统必须要纳入企业整体的安全运营体系中去。但由IT运维人员，还需考虑如何将企业的业务运营合理的随着实践的不断丰富，行业对已有的安全能力如何演进，不同场景的架构如何选择，新的技术如何更好的5.3零信任安全建设成熟度模型为了更好支撑企业数字化转型中零信任的能力建设，安全牛结合相关研究、调研，从技术、空间和运维三个维度给出了零信任能力建设的成熟度模型，帮助用户以点线面的方式逐步构建自己的零信任安全能力。如图•网络空间，通过策略管理覆盖到用户、终端、网络、应用和数据等多维网络空间实体，并从半自动化逐•运营管理上，以可视化和自动化为主，将访问控制、风险可视化、响应处置自动化纳入零信任的安全运第六章十大典型应用案例6.1政务大数据平台零信任访问管理解决方案为支撑数字政府的建设目标，各级政府都在积极推进、深化政务云平台及政务大数据平台建设工作。某市三级共享平台的互联互通和资源共享，横向完成对五大基础信息库、主题信息库等政务数据库的接入，其重要为有效解决以上安全问题，天融信采用零信任理念，面向运维人员、业务人员、应用接口等访问主体，从任系统技术规范》《基于云计算的安全零信任体系第2部分：零信任安全解决方案能力要求》，以及国内外该方案包含SDP控制器、SDP网关、SDP客户端、■业务人员主要通过SDP浏览器发起对大数据平台的访问，并由SDP客户端对返回的业务请求页面执■运维人员通过SDP客户端发起运行维护操作，并由云堡垒机执行SDP控制器的访问控制策略，对非■API安全代理是外部应用系统访问大数据平台的唯一入口，它接收应用接口的调用请求，根据SDP控■用户行为分析系统根据收集到的终端环境信息、访问主体的身份信息、业务应用访问请求、运维操作请求、应用接口调用请求等数据，结合大数据平台的访问操作规范标准，基于以身份为核心的异常行为分析模6.1.3实践经验分享•项目实施前，天融信与甲方做了深度的技术沟通，定义了本项目要达成的建设目标，并充分告知项目实施的风险点。在此基础上，甲方进一步安排大数据平台建设方与项目组对接，规范了•项目实施期间，天融信先行完成了相关安全产品的部署以及云堡垒机、API安全代理、用户行为分析系统等产品与SDP控制器之间的对接。接下来完成SDP控制器与原有身份管理系统及业务系统的对接，导入各类用户、应用的身份信息。最后，经与甲方讨论，项目组设计并启用异常行为分析模型，用于分析政务大数据•项目试运行期间，项目组主要的工作精力放在提升信任推断的准确性上。试运行3个月后，整套零信任（1）本项目对政务大数据平台的三类主要访问主体（业务人员、运维人员、应用接口）采用集中的策略管理和自适应的策略变更，能够高效地阻断非受信访问实体的访问行为，提升政务大数据平台响应异常访问行（2）零信任集中管控和分布执行的策略管控措施进一步增强了政府部门数据安全管控能力，使终端上滥量集中于各产品之间的对接，不涉及大量新功能的开发，改造量少，落地难度不高，可快速在政务行业领域里该方案重点分析了政务大数据平台远程访问的需求和典型特征，并基于零信任理念提出了该场景下统一访问管理的解决方案。系统整合多个零信任相关组件和多种技术措施，提升了政务大数据平台响应异的能力，强化了政府部门的数据安全管控能力。选用方案与场景匹配度高，组件相对成熟，实施风险和周期都6.2特大央企零信任实践案例为推动集团内部各成员单位之间的办公协同和数字化转型，使用专有云架构建设了覆盖全集团所有成员单位的园区网移动办公平台，企业OA、邮件、即时通、招采平台等百余内部应用业务系统相继上云，促进跨地区、随着移动办公和业务系统的逐渐云化，访问主体和接入场景的多样化、网络边界的模糊化、访问策略的精（3）现有的移动终端一次性认证通过后即取得了安全系统的默认信任，而移动终端的运行环境是随时可（4）业务系统采用云化部署，以容器化和API化提供服务，但对API接口和（5）业务系统中存储的敏感数据访问尚未有明确的分级分类访问机制，对于访问敏感数据的应用和用户针对园区网移动办公应用中存在的上述新安全风险和新安全挑战，该集团坚持新问题新解决思路的原则，其中，身份管理基础设施，依托密码支撑体系，以身份为中心，提供不同对象的规范化统一管理服务、多类型■控制平台层，除策略控制中心，还包括可信身份管控平台和密码服务平台（含PKI基础设施）；■数据平面层是依据数据流转方向，从用户、设备、应用到存储的数据全流程管控。6.2.3实践经验分享实施中，为保证大量移动终端用户远程办公安全和重要数据完整性，在内部云建设部署PKI/CA体系，为移动终端提供移动发证服务。用户通过PKI/CA体系提供的密钥分离、协同签名等防护技术，可自助申请个人终端设备安装了环境感知模块，使零信任平台可持续感知终端设备的物理位置、基础环境、系统环境、应在纵深防御层面，在执行点上启用动态鉴权。综合终端环境、用户行为、身份强度等多种因素进行动态计（1）移动办公业务系统的安全防护能力得到明显提升，其中，基于密码技术的身份鉴别与数据保全起到本项目完全践行零信任建设理念，实现了集团园区网用户的统一身份管理、统一授权、统一认证、统一审计，同时融合PKI体系提供移动端APP证书签发、签名验签、证书登录等功能。零信任平台整合了园区网资源及业务系统，打造成为统一身份中台，给集团及成员单位提供应用上云的身份集成服务，实现以园区网办公6.3大型央企零信任安全体系建设冠疫情影响，该企业的远程办公需求出现激增，员工、分支机构、外部人员都需要通过互联网接入企业内网。作为事关国计民生的大型央企，在满足业务大量远程访问的同时，该企业还必须考虑合规性的要求，完善国产（1）满足《网络安全等级保护条例》的相关要求，并支持国产化设备及操作系统的部署，支持SM2、（4）安全方面要求缩小业务端口在互联网的暴露面，实现多维身份认证及动态访问控制、访问权限统一根据用户需求，芯盾时代基于零信任理念为用户设计了远程办公安全方案，对企业的用户身份进行全面治理，一站式实现用户身份、权限、认证登录的统一管理，提升身份认证的安全性和易用性；缩小资源暴露面，■零信任业务安全平台（SDP）包括安全客户端、控制器、安全网关、全域风险感知平台、持续风险计算引擎、动态访问控制引擎六个主要组件。用户通过安装零信任安全客户端，与控制器进行预认证绑定及登录，与安实现互联网到内网的安全访问；动态访问控制引擎结合风险评估下发网关风控策略，对用户身份、行为、终端环境信息进行实时的动态访问控制，并进行阻断、二次认证等访问策略处置；安全对用户身份、应用、权限进行统一接管，并通过统一身份治理、权限管理技术实现集中式的身份管理、认6.3.3实践经验分享■诊：深入分析企业的安全能力、IT环境、第三方合作模式，分析当前的零信任能力成熟度，为方案的■规：基于企业当前的零信任能力成熟度，选择统一身份治理配合零信任网络访问控制的切入点，为客■线：方案全面落地实施后，帮助客户加强可信实体身份识别、全域风险感知、资源安全访问、动态自系统建设完成后，为做好日常运营进一步为企业提供了覆盖了制度建设、人员培训、系统运维三个方面的（2）依托统一终端安全、零信任网络访问、智能决策大脑等核心技术，持续对功能模块进行迭代升级，在零信任需求下如何有效的利用旧的安全能力是企业新安全能力建设的顾虑之一。该方案在新业务需求驱动下，将零信任的网络安全系统与传统纵深防御的安全体系进行结合，进一步帮助企业实现了网络安全风险统6.4央企一体化零信任安全办公解决方案央、国企作为国家重要信息系统和基础信息网络的运营者，掌握着我国网络安全的命脉，其安全性决定了国家安全。随着互联网技术及数字化转型的高速发展，越来越多的业务需要开放和共享，业务转型在给企业带其次，API账号管理困难。各应用系统独自管理，规则不一致，用户需要记录多套账号，体验不佳；员工入离职等活动需要人工处理开/禁，存在时效问题及处理风险；无法统计一个员工有哪些应用账号权限，是否■采用API网关模块实现应用接口统一管理。方便信息部门对应用建设情况整理统计，同时通过API网6.4.3实践经验分享根据央、国企核心系统国产化替代的要求，实践中将身份与访问管理合规的关键组件与国产化系统进行了•其次，身份管理平台以用户为中心，基于组织架构、岗位、用户、属性进行授权，不受区域位置限制，更贴合移动互联网需求，性能上满足10000个用户身份、权限等数据集中管理需求。同时，基于环境、行为（1）通过一体化零信任方案整合企业内部应用、云应用、网络设备等资源，为客户构建基于零信任理念（3）API平台为应用提供端到端、端到云、云到端的全链路监控追踪体系，实现业务对接自助化、对接程访问中基于安全连接的一体化零信任安全建设方案6.5互联网科技企业数字化转型的零信任实践案例服务的供应商，深信服在全球有50余个分支机构，员工规模近万人，发展至今拥有3个核心数据中心，上线使用上百个业务系统，覆盖全国50余个办事处/分公司和5大研发中心。随着数字化转型的深入，业务发展（1）业务、用户、资源都在持续变化，且用户行为多样、资源漏洞难以避免，同时用户与资源、资源与（2）在少数固定的隔离边界上，以粗颗粒度的、相对静态的安全策略，识别多种多样的用户行为、防护（3）研发网虽然是隔离的，但有很多风险因素，如内部有很多安全人员做攻防、做病毒样本分析，需要访问、数据全流程，构筑从端到端的零信任安全体系，包括：1套技术架构、1个安全管理平台、2种安全服为解决企业数字化转型中的上述问题，基于aTrust零信任安全解决方案，结合企业内部网络安全和业务现状，深信服选择从远程办公场景切入，从SSLVPN向SD6.5.3实践经验分享为了保障员工顺畅的办公体验，在第一阶段优先改造移动终端远程办公的接入，实现人员对应用的安全访问和权限管理。在集团员工终端上部署零信任aTrust客户端，当员工远程访问业务系统时，均需要通过零信任系统的身份认证进行鉴权，确保只有集团内部员工才能访问业务系统。同时，通过零信任客户端对终端实行安全基线检查，如需要安装终端安全管理系统EDR等，不满足基线要求的终端无法通过零信任系统认证，也与此同时，深信服也同步建设了统一认证平台IDTrust，通过对后端应用进行改造，实现了超过200个业在全员安装零信任访问控制系统aTrust客户端后，无论是总部还是区域员工、外包员工，甚至之前使用业务系统的IP、端口等信息都被隐藏起来。在业务在保证安全的前提下，深信服进一步采用了IAM主认证+SDP辅认证的双源、双因素认证方式，优化了用户的认证体验。当员工访问业务时，重定向到深信服统一认证平台IDTrust弹出扫码界面，新用户首次认证时，还会弹出零信任的二次认证，再提示“是否绑定授信终端”；完成首次登录后，后续认证登录只需要通过完成第二个阶段的建设后，进一步对研发隔离网进行了零信任改造。研发网虽然是隔离的，但有很多风险因素，如内部有很多安全人员做攻防、做病毒样本分析，需要从外部传输数据，管控难度极大。同时，随着深为了平衡安全与体验的双重需求，深信服首先对研发服务器进行改造，收缩研发人员的应用访问权限，并其中，“研发数据不出网”与“零信任”的理念有一定冲突，是最难以平衡的。但深信服探索出了一条新的道路——基于零信任动态策略检测计算机的并且通过全面零信任安全架构的应用，使得局限于传统的职场网络建设和管理模式得到全面提升，连接内网的该案例持续践行“简单有效、省心可靠”的安全理念，探索出了一套落地有声的零信任安全解决方案。实践中，关注安全，兼顾体验，并逐步构建完善零信任安全体系架构，实现内外网全面零信任改造，项目完成后6.6大型互联网企业零信任云网安全解决方案某大型互联网企业拥有近两万员工，设有国内总部、国内分公司和海外分公司。内部业务资源部署在数据中心A和数据中心B，对外开放业务部署在公有云A和公有云B上。数据中心与公有云之间用专线打通，数•海外分公司办公区及移动办公人员通过SSLVPN接入到总部办公区，通过总部VPN跳转访问数据中心随着时间迁移，基于VPN的远程接入方式暴露出众多系统漏洞，异常行为监控能力缺失，统一集中管理该案例中，用户采用了信域安全云网解决方案。信域安全云网是在物理网网络技术在物理网络之上构建了一个平行的虚拟安全网络。在虚拟网络中进行策略编排和威胁分析，而在物理工作原理：通过构建实名制云化网络，使企业分布式异构网络可以跨越整个互联网，连接任何物理位置的业务资源和终端。所有授权策略和威胁分析研判都基于人、终端和业务这三个网络实体来集中编排和分布式执在云化网络里点对点传输的数据包被重新封装与加密，并由物理网络进行转发。在数据包重新封装的过程中账号、终端与业务资源的身份信息被植入到数据包中，在分布式网络中利用分布式策略引擎，直接基于身份技术架构如图34所示。核心能力包括：网络隐身、统一身份认证、基于身份的访问授权、分布式细粒度■网络隐身：信域安全云网可以跨越互联网构建分布式企业私有的云化网络，且整个云化网络对互联网■统一身份认证：信域安全云网自身具备独立的账号和认证体系，也能同时对接企业内部已建的多源身业务系统的变化，实时进行策略计算，并将细粒度策略同步到每一个终端和信域网关上的分布式访问控制引擎■逐包加密逐包验证：在云网中每一个网络数据包都被植入身份信息，并基于身份信息进行混淆加密。6.6.3实践经验分享务资源。公有云A上申请一个具备跨境加速能力的虚拟机，并在这个虚拟机上单独部署一台TMG。在总部服务器区的TMC上配置策略，让所有海外员工的终端在访问国内业务资源时，下一跳都指向到这台具备跨境加该项目实施中分了三个阶段，第一阶段主要用于收集业务资源和账号信息、设计访问策略、部署产品、进行初始化配置以及小范围验证（总部和测试分支第二阶段开始（1）点到点全网互联的虚拟网络简化复杂的分布式网络，用户只需通过边缘接入点进入企业虚拟网络，（2）各分支机构不需要再使用专线或VPN接入总部和数据中心，减少了专线和VP（4）通过对数据进行身份标识的方式可以对所有业务访问行为进行审计和异常检测，对敏感业务开启强信域安全云网的典型特点是通过实名制网络实现敏感业务能为用户快速构建实现随时随处可信访问的零信任网络，简化重构复杂异构的物理网络，适用于各类型分布式6.7能源行业的零信任实践案例某能源行业客户已经建立了内部业务访问平台，通过部署边界安全等实现了一定程度的安全访问。但随着业务访问场景的多样化和攻击手段的升级，当前的安全机制存在很大的局限性，需要进行升级改造。其中的主（2）随着云计算、大数据的发展，企业数据不再仅限于内部自有使用或存储，数据信息云化存储、数据（3）访问人员的身份和权限管理混乱，弱密码屡禁不止，接入设备的安全性参差不齐，接入程序漏洞无（4）远程办公过程中，企业的业务数据在不同的人员、设备、系统之间频繁流动，原本只能存放于企业控制中心作为关键技术，基于访问发起者的身份及终端环境、实体行为、网络态势等多源数据，实时计算信任更加安全的方式进行认证，确保是本人操作。其中，代理网关作为业务访问安全的关口，为零信任提供国密6.7.3实践经验分享程中，充分协商沟通集团、与各专业处、各应用厂商之间的问题，减少分歧，解决矛盾，统一意见，共同促使•在外部专项、专题会议召开之前，项目经理要与业主、项目组、各专业处、应用系统厂商的有关负责人为确保整个项目能够高质量地如期完工，在施工中还要明确划分施工阶段，针对项目的各个具体的实施环节，事先制定详细的项目实施计划和测试计划。对系统的整体调试和各专业处相关负责系统之间的联调必须严其次，改进了在整个企业范围内的可视性和缩短发现漏洞的时间，降低企业自身的安全堆栈，减少安全技该方案紧密结合用户应用场景，完善零信任动态访问控制策略，在数字认证和传输私密性方面与基础密码6.8金融用户远程办公零信任改造方案某金融行业头部客户，在国内多个省份城市都有办公点，现有员工5000余人。为提高协同效率，该企业采用了钉钉作为企业协同办公门户平台，并全员推广使用。但随着疫情带来的大规模远程办公的需求，企业需要将传统仅能在内网访问的业务开放到公网，供员工远程办公访问，为此，需要一套更加安全可靠的方案。主针对客户的需求，九州云腾基于钉钉办公软件为用户构建了身份安全边界。安装了钉钉客户端的用户，通过登录钉钉系统就能访问授权的业务系统。为了适应用户的现场环境，设计方案在落地部署时对多类终端进行（2）SDP网关，部署在业务系统前，代理业务系统，提供网络隐身能力；同时，在终端敲门并认证后，（3）SDP控制器是SDP的“大脑”，能够收集用户、终端、网络、应用的信息，基于AI和大数据，进6.8.3实践经验分享互联网接入区部署了SDP网关集群，采用多活集群模式，以应对大量用户高并发办公场景，同时支持在即可完成敲门，建立安全连接；通过钉钉，可访问已授权的各类业务系统。无需二次验证身份，安全高效体验项目采用分步实施方案，分部门分区域，逐步切换到使用场景。在未切换前，仍保持原有的访问方式（通整体方案，基于零信任“永不信任、始终校验”的理念，通过SDP建立了新的身份安全边界，并通过与（1）安全性方面，通过三重隐身能力，动态身份验证，以及信任有TCP/IP业务数据。基于QUIC协议，实现了低延迟连接建立，改进拥堵控制策，多路复用，前向纠错，连接迁移等多项优化，提供了低延迟、高吞吐的效果，即使在弱网络或网络切换的环境下，仍能提供较好的连接随着远程办公的常态化，企业级远程办公平台已经成为企业员工协同和业务对外交付的重要出口。本方案通过零信任安全改造提升了远程办公协作平台自身的安全性，这可以让企业进一步将更多业务访问整合到远程6.9银行数据安全访问与流通的零信任应用案例非管控设备临时访问、互联网接入开发环境、敏感数据授权提取等常见场景都无形之中扩大了不可信身份接入通过在终端上建立安全可信的工作空间的方式，使被授权的员工在办公环境、互联网环境以及更高密级别的环境之间自由切换，访问已授权的内部信息及外部资源，发挥数字经济的采用零信任网络对用户、设备、应用、报文进行持续验证，确保访问的安全可信，同时让整个数字生态系安全架构如图40所示。以零信任客户端、零信任分布式网关、零信任控制器为主要组件，来构建终端-■提供安全的私有应用访问控制，保障企业数字业务环境安全，同时兼顾企业办公效率与用户体验。6.9.3实践经验分享该项目涉及30多万终端，按场景分批上线远程办公、外包运维、办公环境等互联网等场景，完整过程历项目首先从终端设备环境监测、用户身份持续认证、终端数据隔离等方面开始实施，总体架构上，遵循分心进行各自不同使用场景及业务的响应策略配置；运维管理员通过总行控制中心可以集中监控全行系统的运行（1）建立可信工作空间，被授权员工在互联网、办公网及更高密级网络之间自由切换访问已授权的内外安全区域，重点解决数据流转的效率和终安全性问题，可灵活应用银行、大型制造、医疗器械等广域网互联企6.10移动通信运营商的零信任应用实践案例由于传统网络安全设备部署在网络边界上，DCN网络内部对威胁的安全分析不够全面，内部威胁检测和•2021年，某移动公司网信安检查发现多地市公司存在ftp未授权访问、redis未授权访问、ApacheTomcat文件包含漏洞、弱口令等风险问题，多地市DCN网未进行安全区域划分，网内已分配地址相关业务内网已经不再可信，为了增强移动公司网络安全能力，有效识别各类安全威胁风险，减少信息安全事件，威胁感知平台，通过网络安全监测及可视化方案，实现对移动公司内网整体的安全防护和态提供全程全网的安全防护与监控，实现非法通信行为和威胁监控、漏洞识别、全方位安全事件监测、应用网络可信接入平台，首先通过策略层和连接层的分离，从根本上解决了传统边界安全设备成为跳板的问题；其次实现对身份、流量、环境的实时动态检测，从客户端到服务端全链路解决安全问题；最后，从紧靠用户的统一入口，到贴近应用的访问网关，加上控制中心，打造了一个全封闭的应用访问区间，最小化网络攻击面，充分保障应用访问安全。技术上采用上下文访问智能分析、动态访问权限控制、单包授权双向认证等核心技术，基于应用安全密级来确定终端的接入逻辑。提供对用户终端安全统一识别、防护、监控和响应能力，感知包括物理环境风险、外部设备风险、网络风险、安全基线风险、恶意代码风险、漏洞风险、应用环境风险和系统应用类风险等。同时为了保障终端数据安全，采用安全工作空间作为可信的终端工作环境，与宿主机之间保持数据、网络、应用、进程和通信全隔离，空间内的数据采用强加密并且数据流转受控，对于核心业务资源、各个地市管理层和具体执行部门网络安全部共同完成策略的制定和实施。总结该项目的建设实施过程，可分为结合移动公司的实际情况，在“139”方案基础上，充分考虑了系统的可靠性和可拓展性，采用高可用部针对不同类型的访问客体，采取不同的安全措施。对于有鉴权的应用（如OA通过零信任应用网关实），本项目中，采用了基于属性的动态访问策略，将主体、客体和环境属性结合起来，动态判断一个用户是否（4）解决了传统网络安全设备技术局限问题，有效弥补目前内网安全建设不统一的情况，全面提升了移通信行业DCN网络在安全管理模式、安全风险和痛点、安全提升诉求等方面具有高度的一致性，加之零信任安全运营体系与现网业务是一种松耦合的关系，因此本项目内容在其他通信组织可以快速部署落地，其他该案例中引入移动现网的4A、智能分析系统、和大数据平台，一方面强化了零信任体系和现有网络安全业务的结合，强化了零信任的整体安全整体策略的核心地位；另一方面也为零信任访问控制未来的自适应策略第七章演进趋势及未来展望零信任使网络连接与安全进行了进一步融合，并且在远程办公的基础上对应用进行了扩展，使行业的应用越来越广泛，产业生态初步形成，我们将该阶段定义为零信任1.0。随着企业的数字化转型的深入，零信任作为一种开放的互联网安全架构，将继续护航未来的数字化发展，扩展的零信任架构也必将会受到越来越广泛的(一)云计算和企业数字化转型是大势所趋，企业内、外网混合办公的环境将长期存在，传统远程办公方案的零信任升级是必然趋势。因此，未来基于零信任的轻量化远程办公平台会成为大、中、小型规模的数字化(二)随着移动技术及终端计算能力的发展和广泛应用，以终端为中心进行mesh组网将会成为一种新的办公模式。终端安全对企业越来越重要，去中心化的零信任连接方案将成为未来数字化企业的新选择。同时终围绕零信任身份治理的需求重塑数字身份的新形态，轻量化、低成本、弹性的身份管理将成为零信任用户的新体验，并成为远程办公用户的高阶追求。技术上人工智能对实体特征分析模型的助力或将会进一步推动多因素(五)零信任架构理论上可以统筹纳管所有远程终端及企业的数字化业务系统，但由于各场景中主体与客体对象覆