14零信任发展研究报告

零信任发展研究报告（2023 年）中国信息通信研究院云计算与大数据研究所 2023 年 8 月版权声明本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院”。违反上述声明者，本院将追究其相关法律责任。前言近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新浪潮。企业 IT 架构从建设到运营发生极大变革，防护机制从以网络边界为核心向以身份为核心的零信任转变，零信任产业已形成蓬勃发展的良好态势，愈发得到行业关注。中国信通院持续跟踪零信任发展历程，曾在 2020 年 8 月、2021 年 5 月发布《网络安全先进技术与应用发展系列报告——零信任技术（Zero Trust）》 1、《数字化时代零信任安全蓝皮报告》 2等研究报告，对零信任基本原则、逻辑架构组成、通用应用场景等进行了阐述。2023 年发布《零信任发展研究报告》，报告聚焦过去两年多零信任产业的新发展新变化。报告首先介绍了数字化转型深化后企业 IT 架构所面临的安全挑战，零信任如何解决安全挑战以及如何应对新的安全威胁。其次从零信任供应侧和零信任应用侧两大视角对我国零信任产业的发展情况与应用痛点进行观察和分析。在零信任供应侧方面，梳理了国内各零信任厂商安全水平概况，分析了重点行业零信任市场近三年发展态势。在零信任应用侧方面，基于对重点行业用户的调研结果，从零信任建设前期、建设中期和使用运营期，分析了用户零信任建设过程中的痛点、肯定与思考，为零信任供应侧提升和优化能力提供指引，同时增强应用侧用户的落地信心。最后总结了零信任技术发展趋势，并对零信任产业发展提出建议。 1 2 http://www.caict.ac.cn/kxyj/qwfb/ztbg/202008/t20200812_302242.htm http://www.caict.ac.cn/kxyj/qwfb/ztbg/202105/t20210521_377790.htm 目录一、零信任保障资源可信访问，应用价值日益凸显.............................................. 1 （一）零信任弥补传统安全防护机制缺陷 ......................................................... 1 （二）零信任为新的安全场景提供有力保障 ..................................................... 4 （三）零信任相关政策与标准涌现，驱动产业规范发展 ................................. 7 二、产业供应侧调研洞察：零信任能力生态逐渐成熟........................................ 10 （一）围绕六大领域能力，建立产品体系 ....................................................... 10 （二）行业应用不断深化，零信任市场步入成长期 ....................................... 20 三、产业应用侧调研洞察：用户对零信任建设尚存顾虑，同时肯定零信任核心价值 25 （一）零信任从零到一，落地部署面临多重阻碍 ........................................... 25 （二）微隔离市场向好，用户看重网络分段能力 ........................................... 27 （三）应用价值受肯定，仍需避免重建设轻运营 ........................................... 28 四、我国零信任发展趋势及建议............................................................................ 30 （一）零信任技术发展呈三点趋势 ................................................................... 30 （二）零信任产业发展的四点建议 ................................................................... 32 图目录图 1 基于零信任理念的逻辑架构 .............................................................................. 1 图 2 我国零信任供应侧发展路径 ............................................................................ 14 图 3 供应侧 SaaS 化情况 .......................................................................................... 16 图 4 供应侧零信任能力分布 .................................................................................... 17 图 5 身份安全产品联动情况 .................................................................................... 17 图 6 安全管理产品联动情况 .................................................................................... 18 图 7 终端安全产品联动情况 .................................................................................... 19 图 8 供应侧企业落地零信任客户数量区间 ............................................................ 21 图 9 微隔离类产品纳管工作负载总数 .................................................................... 22 图 10 软件定义边界类产品纳管员工总数 .............................................................. 23 图 11 零信任应用环境情况 ...................................................................................... 24 图 12 落地零信任使用场景情况 .............................................................................. 25 图 13 统一整个基础设施的策略管理 ...................................................................... 31 图 14 身份信息穿透业务访问全程 .......................................................................... 32 表目录表 1 国外零信任相关政策 ........................................................................................... 7 表 2 零信任安全能力与子能力 ................................................................................. 12 零信任发展研究报告（2023 年）一、零信任保障资源可信访问，应用价值日益凸显零信任秉持“永不信任，持续验证”的理念受到业内广泛关注，其打破了网络位置和信任间的潜在默认关系，致力于降低企业资源访问过程中的安全风险。基于零信任理念的逻辑架构如图 1 所示，由零信任核心逻辑组件和内部或外部数据源组成，零信任核心部分分为控制平面和数据平面。来源：NIST 图 1 基于零信任理念的逻辑架构位于数据平面的访问主体发起访问请求，由控制平面的策略引擎进行身份认证与多源评估计算，由控制引擎对计算结果进行判定，决定授权策略，一旦授权访问，控制引擎将通知数据平面的安全代理，为该次访问建立安全连接。策略引擎仍持续对访问进行评估，一旦参与因素或其行为发生变化，策略引擎将依据新的评估源重新评估，控制引擎将依据评估结果判定授权策略是否需要改变，随时通知安全代理执行相应操作，最大限度保障资源安全。（一）零信任弥补传统安全防护机制缺陷 1. IT 架构从封闭走向开放，传统安全防护架构面临挑战 1 零信任发展研究报告（2023 年）近年来，国家高度重视和支持数字经济发展，大力支持产业数字化，同时，用户需求不断升级，驱动企业加速数字化转型进程。传统企业安全架构基于网络边界构建信任域，随着数字化不断深入，边界逐渐消失，企业 IT 架构面临更多安全挑战：一是数据中心内部东西向流量安全防护薄弱。随着应用云化，构建方式微服务化，服务间需进行频繁的通信和交互，数据中心内部互访力量增多。传统安全防护侧重南北向，若有东西向流动的恶意流量，无法提供防护。二是安全策略仍待细化。随着虚拟化、容器等云计算技术的广泛使用，企业纳管资源粒度不断细化，安全防护策略也需随资源粒度的细化而细化，以承载不同类型、不同级别的业务。三是跨云的连接、数据传输使得资源暴露面增大。随着 5G 与分布式云的融合，用户得以在任意时间使用任意设备从任意位置快速获取资源，然而云间的连接点尤为脆弱，攻击者可以通过攻击进入云中，并在云间实现威胁渗透。四是防火墙与 VPN 无法保证用户操作合法性。无界办公需求增多，用户接入方式复杂多样，传统的网关安全防护设备无法判断拥有账号、密码的用户身份是否合法、操作行为是否