網(wǎng)絡安全零信任技術(shù)發(fā)展報告

1、網(wǎng)絡安全先進技術(shù)與應用發(fā)展系列報告零信任技術(shù)(Zero Trust)前言隨著全球數(shù)字化轉(zhuǎn)型的逐漸深入，在“云大物移智工”等新技術(shù)發(fā)展支撐下，零信任從原型概念加速演進，成為新一代信息技術(shù)安全架構(gòu)。在過去的 2019 年，國內(nèi)零信任從概念走向落地，零信任安全架構(gòu)以其兼容移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G 等新興應用場景，支持遠程辦公、多云環(huán)境、多分支機構(gòu)、跨企業(yè)協(xié)同等復雜網(wǎng)絡架構(gòu)，受到各界青睞，從產(chǎn)品研制、解決方案到應用試點示范，到逐步探索完善適應不同場景的零信任應用實踐。進入 2020 年以來，在“新基建”和疫情的雙重刺激下，零信任作為一種可支撐未來發(fā)展的最佳業(yè)務安全防護方式，成為我國網(wǎng)絡安全界的焦點。本

2、報告聚焦零信任發(fā)展，從技術(shù)、產(chǎn)業(yè)、應用和實踐四個維度進 行剖析：技術(shù)部分包含零信任安全架構(gòu)定義和關(guān)鍵技術(shù)的最新研究成 果；產(chǎn)業(yè)部分介紹了國內(nèi)外產(chǎn)業(yè)發(fā)展、標準化等方面的最新進展；應 用部分匯集遠程辦公、大數(shù)據(jù)中心、云計算、物聯(lián)網(wǎng)和 5G 應用等核心應用場景的零信任解決方案建議；實踐部分聚焦零信任規(guī)劃與部署， 介紹零信任實施經(jīng)驗。最后以零信任建議和展望總結(jié)全文，希望通過 本書幫助更多的人理解和實踐零信任，加快推進零信任創(chuàng)新發(fā)展，為 以新基建為代表的數(shù)字化轉(zhuǎn)型保駕護航。 HYPERLINK l _bookmark0 一、零信任技術(shù)和產(chǎn)業(yè)發(fā)展現(xiàn)狀 HYPERLINK l _bookmark0 1 HY

3、PERLINK l _bookmark5 （一）零信任核心原則 HYPERLINK l _bookmark5 2 HYPERLINK l _bookmark7 （二）零信任安全架構(gòu)及組件 HYPERLINK l _bookmark7 4 HYPERLINK l _bookmark15 （三）零信任關(guān)鍵技術(shù) HYPERLINK l _bookmark15 7 HYPERLINK l _bookmark20 （四）國外產(chǎn)業(yè)發(fā)展及應用規(guī)劃 HYPERLINK l _bookmark20 10 HYPERLINK l _bookmark40 （五）國內(nèi)零信任概念走向落地 HYPERLINK l _bo

4、okmark40 12 HYPERLINK l _bookmark44 二、零信任應用場景 HYPERLINK l _bookmark44 14 HYPERLINK l _bookmark45 （一）遠程辦公 HYPERLINK l _bookmark45 14 HYPERLINK l _bookmark50 （二）大數(shù)據(jù)中心 HYPERLINK l _bookmark50 18 HYPERLINK l _bookmark56 （三）云計算平臺 HYPERLINK l _bookmark56 22 HYPERLINK l _bookmark65 （四）物聯(lián)網(wǎng) HYPERLINK l _book

5、mark65 26 HYPERLINK l _bookmark80 （五）5G 應用 HYPERLINK l _bookmark80 30 HYPERLINK l _bookmark94 三、零信任實施建議 HYPERLINK l _bookmark94 34 HYPERLINK l _bookmark95 （一）使用范圍 HYPERLINK l _bookmark95 34 HYPERLINK l _bookmark98 （二）實施規(guī)劃 HYPERLINK l _bookmark98 38 HYPERLINK l _bookmark102 （三）技術(shù)實現(xiàn) HYPERLINK l _bookm

6、ark102 40 HYPERLINK l _bookmark104 四、零信任思考和展望 HYPERLINK l _bookmark104 46 HYPERLINK l _bookmark4 圖 1 零信任概念演進歷程圖 HYPERLINK l _bookmark4 2 HYPERLINK l _bookmark8 圖 2 零信任架構(gòu)總體框架圖 HYPERLINK l _bookmark8 4 HYPERLINK l _bookmark49 圖 3 基于零信任架構(gòu)的遠程辦公安全參考架構(gòu) HYPERLINK l _bookmark49 18 HYPERLINK l _bookmark53 圖

7、4 數(shù)據(jù)中心內(nèi)部訪問流程示意圖 HYPERLINK l _bookmark53 21 HYPERLINK l _bookmark55 圖 5 數(shù)據(jù)中心安全接入?yún)^(qū)案例示意圖 HYPERLINK l _bookmark55 22 HYPERLINK l _bookmark64 圖 6 基于零信任架構(gòu)的云計算平臺安全參考架構(gòu) HYPERLINK l _bookmark64 26 HYPERLINK l _bookmark79 圖 7 基于設(shè)備指紋的物聯(lián)邊緣網(wǎng)關(guān)零信任方案示意圖 HYPERLINK l _bookmark79 30 HYPERLINK l _bookmark103 圖 8 零信任實施技

8、術(shù)路線示意圖 HYPERLINK l _bookmark103 41表目錄 HYPERLINK l _bookmark37 表 1零信任解決方案市場供應商分析 HYPERLINK l _bookmark37 11 HYPERLINK l _bookmark82 表 25G 架構(gòu)下的主要對象 HYPERLINK l _bookmark82 31 HYPERLINK l _bookmark83 表 35G 架構(gòu)下的風險來源 HYPERLINK l _bookmark83 31 HYPERLINK l _bookmark84 表 45G 架構(gòu)下的攻擊情況 HYPERLINK l _bookmark8

9、4 31 HYPERLINK l _bookmark86 表 55G 典型攻擊行為案例 HYPERLINK l _bookmark86 32一、零信任技術(shù)和產(chǎn)業(yè)發(fā)展現(xiàn)狀近年來，中央地方高度重視新型基礎(chǔ)設(shè)施建設(shè)（簡稱“新基建”），國家高層會議密集提及新基建，各省積極推動新基建項目集中開工。作為新基建三大領(lǐng)域之一的信息基礎(chǔ)設(shè)施，成為數(shù)字經(jīng)濟的關(guān)鍵乃至整個經(jīng)濟社會的神經(jīng)中樞，其安全性、敏捷性、穩(wěn)定性等將對新基建安全發(fā)展產(chǎn)生至關(guān)重要的影響。因此，在主動擁抱新基建的同時，首先應當系統(tǒng)性地評估網(wǎng)絡安全的準備工作是否到位。隨著新一代信息技術(shù)的快速演進，新技術(shù)態(tài)勢下的網(wǎng)絡安全威脅和風險不斷涌現(xiàn)、擴散，移動互聯(lián)

10、網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型應用場景致使物理網(wǎng)絡安全邊界逐步瓦解，用戶、設(shè)備、業(yè)務、平臺等多樣化趨勢不可阻擋，新場景疊加的安全風險不容忽視。為了應對逐漸復雜的網(wǎng)絡環(huán)境，一種新的網(wǎng)絡安全技術(shù)架構(gòu)零信任逐步走入公眾視野，其創(chuàng)新性的安全思維契合數(shù)字基建新技術(shù)特點，著力提升信息化系統(tǒng)和網(wǎng)絡的整體安全性，受到了廣泛關(guān)注，并被寄予厚望。零信任雛形最早源于 2004 年成立的Jericho Forum HYPERLINK l _bookmark1 1，其成立目的是尋求網(wǎng)絡無邊界化趨勢下的全新安全架構(gòu)及解決方案。2010 年， Forrester HYPERLINK l _bookmark2 2的分析

11、師約翰金德維格正式提出了“零信任”（Zero Trust）一詞 HYPERLINK l _bookmark3 3。隨著業(yè)界對零信任理論和實踐的不斷完善，零信任從原型概念向主流網(wǎng)絡安全技術(shù)架構(gòu)逐步演進，從最初網(wǎng)絡層微分段的范疇開1 Jericho Forum：耶利哥論壇，成立于 2004 年，公益論壇2 Forrester：弗雷斯特研究公司，成立于 1983 年，技術(shù)和市場調(diào)研公司3 S. Rose et al., Zero Trust Architecture, National Institute of Standards and Technology (NIST) Draft (2nd)

12、Special Publication 800-207, Gaithersburg, Md., February 2020. Available: /nistpubs/SpecialPublications/NIST.SP.800-207- draft2.pdf.始，逐步演變成為覆蓋云環(huán)境、大數(shù)據(jù)中心、微服務等眾多場景的新一代安全架構(gòu)。圖 1 零信任概念演進歷程圖（一）零信任核心原則零信任網(wǎng)絡：在不可信網(wǎng)絡中構(gòu)建安全系統(tǒng)一書中，作者使用如下五句話對零信任安全進行了抽象概括：網(wǎng)絡無時無刻不處于危險的環(huán)境中。網(wǎng)絡中自始至終存在外部或內(nèi)部威脅。網(wǎng)絡位置不足以決定網(wǎng)絡的可信程度。所有的設(shè)備、用戶和網(wǎng)絡

13、流量都應當經(jīng)過認證和授權(quán)。安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來 HYPERLINK l _bookmark6 4。簡而言之，零信任的核心思想是：默認情況下，企業(yè)內(nèi)外部的任何人、事、物均不可信，應在授權(quán)前對任何試圖接入網(wǎng)絡和訪問網(wǎng)絡4【美】埃文吉爾曼（Evan Gilman）、道格巴特（Doug Barth），零信任網(wǎng)絡：在不可信網(wǎng)絡中構(gòu)建安全系統(tǒng)，人民郵電出版社，北京，2019 年 7 月資源的人、事、物進行驗證。基于對零信任安全框架的理解，可將零信任架構(gòu)的原則歸納如下：將身份作為訪問控制的基礎(chǔ)：零信任的信任關(guān)系來自于對所有參與對象的身份驗證。所有參與對象共同構(gòu)成端到端信任關(guān)系

14、的基礎(chǔ)，這些參與對象包括基礎(chǔ)網(wǎng)絡、設(shè)備、用戶、應用等。零信任架構(gòu)為所有對象賦予數(shù)字身份，基于身份而非網(wǎng)絡位置來構(gòu)建訪問控制體系。最小權(quán)限原則：零信任架構(gòu)強調(diào)資源的使用按需分配，僅授予執(zhí)行任務所需的最小特權(quán)，同時限制了資源的可見性。通過使用 端口隱藏等技術(shù)手段，默認情況下資源對未經(jīng)認證的訪問主體不可見。授權(quán)決策時將人員、設(shè)備、應用等實體身份進行組合，形成訪問主體。 針對主體的組合信息和訪問需求，以及信任評估和權(quán)限策略計算情況， 確定是否授予訪問權(quán)限。實時計算訪問控制策略：授權(quán)決策依據(jù)主體的身份信息、權(quán)限信息、環(huán)境信息、當前主體信任等級等，通過將這些信息進行實時計算，形成訪問控制策略。在資源訪問過

15、程中，一旦授權(quán)決策依據(jù)發(fā)生了變化，將重新進行計算分析，必要時即時變更授權(quán)決策。資源受控安全訪問：零信任架構(gòu)對所有業(yè)務場景、所有資源的每一個訪問請求進行強制身份識別和授權(quán)判定，確認訪問請求的權(quán)限、信任等級符合安全策略要求后才予以放行，實施會話級別的細粒度訪問控制。零信任默認網(wǎng)絡互聯(lián)環(huán)境是不安全的，要求所有的訪問連接都必須加密?；诙嘣磾?shù)據(jù)進行信任等級持續(xù)評估：主體信任等級是零信任授權(quán)決策的判定依據(jù)之一，主體信任等級根據(jù)實時多源數(shù)據(jù)，如身份、權(quán)限、訪問日志等信息計算得出，參與計算的數(shù)據(jù)種類越多， 數(shù)據(jù)的可靠性越高，信任等級的評估就越準確。人工智能技術(shù)的迅猛發(fā)展為信任評估賦能，通過專家系統(tǒng)、模型訓練

16、、機器學習等人工智能技術(shù)，緊扣應用場景，提升信任評估策略計算效率，實現(xiàn)零信任架構(gòu)在安全性、可靠性、可用性、安全成本等方面的綜合平衡。（二）零信任安全架構(gòu)及組件參考美國國家標準與技術(shù)研究院NIST 特別出版物SP800-207 零信任架構(gòu)定義的零信任體系架構(gòu)，結(jié)合零信任的實踐探索，本報告將零信任架構(gòu)的總體框架歸納如下：圖 2 零信任架構(gòu)總體框架圖零信任秉承“從不信任并始終驗證”的安全原則，對訪問主體和訪問客體之間的數(shù)據(jù)訪問和認證驗證進行處理，并將訪問行為實施平面分解為用于網(wǎng)絡通信控制的控制平面和用于應用程序通信的數(shù)據(jù)平面。訪問主體通過控制平面發(fā)起的訪問請求，由信任評估引擎、訪問控制引擎實施身份認

17、證和授權(quán)，一旦訪問請求獲得允許后，系統(tǒng)動態(tài)配置數(shù)據(jù)平面，訪問代理接受來自訪問主體的流量數(shù)據(jù)，建立一次性的安全訪問連接。信任評估引擎將持續(xù)進行信任評估，把評估數(shù)據(jù)提供給訪問控制引擎進行零信任策略決策運算，判斷訪問控制策略是否需要改變，如有需要及時通過訪問代理中斷連接，快速實施對資源的保護。核心組件信任評估引擎零信任架構(gòu)中實現(xiàn)持續(xù)信任評估能力的核心組件之一，與訪問控制引擎聯(lián)動，持續(xù)為其提供主體信任等級評估、資源安全等級評估以及環(huán)境評估等評估數(shù)據(jù)，作為訪問控制策略判定依據(jù)。訪問控制引擎持續(xù)接收來自信任評估引擎的評估數(shù)據(jù)，以會話為基本單元，秉承最小權(quán)限原則，對所有的訪問請求進行基于上下文屬性、信任等級

18、和安全策略的動態(tài)權(quán)限判定，最終決定是否為訪問請求授予資源的訪問權(quán)限。訪問代理零信任架構(gòu)的數(shù)據(jù)平面組件，是動態(tài)訪問控制能力的策略執(zhí)行點。訪問代理攔截訪問請求后，通過訪問控制引擎對訪問主體進行身份認證，對訪問主體的權(quán)限進行動態(tài)判定。訪問代理將為認證通過、并且具有訪問權(quán)限的訪問請求，建立安全訪問通道，允許主體訪問被保護資源。當訪問控制引擎判定訪問連接需要進行策略變更時，訪問代理實施變更，中止或撤銷會話。身份安全基礎(chǔ)設(shè)施身份安全基礎(chǔ)設(shè)施是實現(xiàn)零信任架構(gòu)的關(guān)鍵支撐組件，甚至可以說，零信任架構(gòu)借助現(xiàn)代身份管理平臺實現(xiàn)對人/設(shè)備/系統(tǒng)的全面、動態(tài)、智能的訪問控制。身份管理和權(quán)限管理為訪問控制提供所需的基礎(chǔ)數(shù)

19、據(jù)來源，其中身份管理實現(xiàn)各種實體的身份化及身份生命周期管理，權(quán)限管理實現(xiàn)對授權(quán)策略的細粒度管理和跟蹤分析。典型的身份安全基礎(chǔ)設(shè)施包括：PKI HYPERLINK l _bookmark9 5系統(tǒng)、身份管理系統(tǒng)、數(shù)據(jù)訪問策略等。身份基礎(chǔ)設(shè)施可以是企業(yè)的 4A HYPERLINK l _bookmark10 6、IAM HYPERLINK l _bookmark11 7、AD HYPERLINK l _bookmark12 8、LDAP HYPERLINK l _bookmark13 9、PKI 等基礎(chǔ)設(shè)施，也可以是企業(yè)的人力資源等業(yè)務系統(tǒng)。隨著企業(yè)規(guī)模的發(fā)展，企業(yè)人員、設(shè)備、權(quán)限都會越來越龐大，

20、零信任架構(gòu)的身份基礎(chǔ)設(shè)施需要能滿足現(xiàn)代 IT HYPERLINK l _bookmark14 10環(huán)境下復雜、高效的管理要求。作為零信任架構(gòu)的支撐組件，還需要支持數(shù)字證書，提供生物特征、電子憑證等多模式身份鑒別，并結(jié)合身份管理，對主體和客體進行有效性驗證。5 PKI：Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施6 4A：認證 Authentication、授權(quán) Authorization、賬號 Account、審計 Audit，統(tǒng)稱為統(tǒng)一安全管理平臺解決方案7 IAM：Identity and Access Management，身份與訪問管理8 AD：Active Dir

21、ectory，活動目錄9 LDAP：Lightweight Directory Access Protocol，輕型目錄訪問協(xié)議10 IT：Internet Technology，信息技術(shù)，用于管理和處理信息所采用的各種技術(shù)的總稱其他安全分析平臺企業(yè)現(xiàn)有的安全平臺建設(shè)成果，為零信任提供資產(chǎn)狀態(tài)、規(guī)范性要求、運行環(huán)境安全風險、威脅情報等數(shù)據(jù)。綜合大量的日志信息能夠支撐零信任實現(xiàn)持續(xù)的動態(tài)評估。其中，典型的其他安全分析平臺包括：終端防護與響應系統(tǒng)、安全態(tài)勢感知分析系統(tǒng)、行業(yè)合規(guī)系統(tǒng)、威脅情報源、安全信息和事件管理系統(tǒng)等。（三）零信任關(guān)鍵技術(shù)現(xiàn)代身份與訪問管理技術(shù)現(xiàn)代身份與訪問管理技術(shù)通過圍繞身份、

22、權(quán)限、環(huán)境、活動等關(guān)鍵數(shù)據(jù)進行管理與治理的方式，確保正確的身份、在正確的訪問環(huán)境下、基于正當?shù)睦碛稍L問正確的資源?，F(xiàn)代身份與訪問管理技術(shù)主要包括身份鑒別、授權(quán)、管理、分析和審計等，是支撐企業(yè)業(yè)務和數(shù)據(jù)安全的重要基礎(chǔ)設(shè)施。隨著數(shù)字化轉(zhuǎn)型的進一步深化，用戶訪問關(guān)系更加復雜，新型服務和設(shè)備的需求與日俱增。比如用戶從企業(yè)雇員、外包員工，發(fā)展到合作伙伴、顧客等；設(shè)備涵蓋手機、平板電腦、可穿戴設(shè)備等各種物聯(lián)網(wǎng)設(shè)備；此外，同一個用戶可能使用多臺設(shè)備，這些都增加了用戶和設(shè)備管理的難度。同時，大量企業(yè)、機構(gòu)辦公地點遍布全國，甚至全世界，地理位置分散導致身份和訪問管理系統(tǒng)需要遵守不同地區(qū)關(guān)于數(shù)據(jù)隱私保護、數(shù)據(jù)留存

23、等方面的法律要求。業(yè)務系統(tǒng)自身的技術(shù)架構(gòu)和環(huán)境也在發(fā)生變化，例如，越來越多的 IT 基礎(chǔ)設(shè)施和業(yè)務應用云服務化，可擴展的混合 IT 環(huán)境已成為主流的系統(tǒng)運行環(huán)境。傳統(tǒng)靜態(tài)、封閉的身份和訪問管理機制已經(jīng)不能滿足現(xiàn)代信息系統(tǒng)對身份與訪問管理的要求，即：確保正確的人或“物”，出于正確的原因，能夠在正確的時間、正確的地點，從正確的設(shè)備中獲取到正確的資源（應用、數(shù)據(jù)等）。采用現(xiàn)代身份與訪問管理技術(shù)構(gòu)建的智能身份管理平臺，具有敏捷和靈活的特點，適配各種新技術(shù)應用場景。零信任具備高級分析能力，能夠應對外部攻擊、內(nèi)部威脅、身份欺詐等各種安全威脅，并通過采用動態(tài)的策略，實現(xiàn)持續(xù)自我完善，不斷調(diào)整以滿足新的業(yè)務、

24、技術(shù)和安全性要求。軟件定義邊界技術(shù)SDP HYPERLINK l _bookmark16 11技術(shù)旨在通過軟件的方式，在“移動+云”的時代背景下， 為企業(yè)構(gòu)建起虛擬邊界，利用基于身份的訪問控制以及完備的權(quán)限認證機制，為企業(yè)應用和服務提供隱身保護，使網(wǎng)絡黑客因看不到目標而無法對企業(yè)的資源發(fā)動攻擊，有效保護企業(yè)的數(shù)據(jù)安全。SDP 具有五大特點：網(wǎng)絡隱身：SDP 應用服務器沒有對外暴露的DNS HYPERLINK l _bookmark17 12、IP HYPERLINK l _bookmark18 13 地址或端口，必須通過授權(quán)的 SDP 客戶端使用專有的協(xié)議才能進行連接，攻擊者無法獲取攻擊目標。

25、預驗證：用戶和終端在連接服務器前必須提前進行驗證，11 SDP：Software Defined Perimeter，軟件定義邊界12 DNS：Domain Name System，域名系統(tǒng)（服務）協(xié)議13 IP：Internet Protocol，網(wǎng)絡之間互連的協(xié)議確保用戶和設(shè)備的合法性。預授權(quán)：根據(jù)用戶不同的職能以及工作需求，依據(jù)最小權(quán)限原則，SDP 在設(shè)備接入前對該用戶授予完成工作任務所需的應用和最小訪問行為權(quán)限。應用級的訪問準入：用戶只有應用層的訪問權(quán)限，理論上無法獲取服務器的配置、網(wǎng)絡拓撲等其他信息，無法進行網(wǎng)絡級訪問。擴展性：除采用特殊協(xié)議對接SDP 服務器以外，其他訪問依然基于標

26、準的網(wǎng)絡協(xié)議，可以方便的與其它安全系統(tǒng)集成。微隔離技術(shù)微隔離（Micro-segmentation）（又稱軟件定義隔離、微分段）最 早由 Gartner HYPERLINK l _bookmark19 14在其軟件定義的數(shù)據(jù)中心相關(guān)技術(shù)體系中提出。對數(shù)據(jù)中心而言，主要有南北向流量和東西向流量：南北向流量是指通過網(wǎng) 關(guān)進出數(shù)據(jù)中心的流量；東西向流量是指數(shù)據(jù)中心內(nèi)部服務器彼此相 互訪問的內(nèi)部流量。傳統(tǒng)防護模式通常采用防火墻作為南北向流量的 安全防護手段，一旦攻擊者突破防護邊界，缺少有效的安全控制手段 用來阻止東西向流量之間的隨意訪問。隨著東西向流量占比越來越大， 微隔離技術(shù)應運而生，其作為一種網(wǎng)絡

27、安全技術(shù)，重點用于阻止攻擊 者在進入企業(yè)數(shù)據(jù)中心網(wǎng)絡內(nèi)部后的東西向移動訪問。從廣義上講，微隔離就是一種更細粒度的網(wǎng)絡隔離技術(shù)，使用策略驅(qū)動的防火墻技術(shù)（通常是基于軟件的）或者網(wǎng)絡加密技術(shù)來隔離14 Gartenr，高德納咨詢公司，成立于 1979 年，信息技術(shù)研究和分析公司數(shù)據(jù)中心、公共云IaaS HYPERLINK l _bookmark21 15和容器，在邏輯上將數(shù)據(jù)中心劃分為不同的安全段，每個段包含混合場景中的不同工作負載、應用和進程，可以為每個段定義安全控制和所提供的服務。此外，數(shù)據(jù)中心往往包括海量的節(jié)點，頻繁變化帶來的工作量不可預估，傳統(tǒng)的人工配置模式已無法滿足管理的需求，自動適應業(yè)

28、務變化的策略計算引擎是微隔離成功的關(guān)鍵。（四）國外產(chǎn)業(yè)發(fā)展及應用規(guī)劃近年來，零信任在國際上的應用已經(jīng)越來越廣泛，零信任產(chǎn)業(yè)已初具規(guī)模。Google HYPERLINK l _bookmark22 16、Microsoft HYPERLINK l _bookmark23 17等業(yè)界巨頭率先在企業(yè)內(nèi)部實踐零信任并推出完整解決方案；Duo HYPERLINK l _bookmark24 18、OKTA HYPERLINK l _bookmark25 19、Centrify HYPERLINK l _bookmark26 20、Ping Identity HYPERLINK l _bookmark27

29、 21 為代表的身份安全廠商當仁不讓，推出“以身份為中心”的零信任方案；Cisco HYPERLINK l _bookmark28 22、Akamai HYPERLINK l _bookmark29 23、Symantec HYPERLINK l _bookmark30 24、VMware HYPERLINK l _bookmark31 25、F5 HYPERLINK l _bookmark32 26等公司推出了偏重于網(wǎng)絡實施方式的零信任方案；同時，零信任也催生了一批非常成功的創(chuàng)業(yè)公司，包括 Vidder HYPERLINK l _bookmark33 27、Cryptzone HYPERLI

30、NK l _bookmark34 28、Zscaler HYPERLINK l _bookmark35 29、Illumio HYPERLINK l _bookmark36 30等。根據(jù) Forrester 2020 年二季度對于零信任產(chǎn)業(yè)的統(tǒng)計數(shù)據(jù)，按照零信15 IaaS：Infrastructure as a Service，基礎(chǔ)設(shè)施即服務16 Google：谷歌公司，成立于 1998 年，跨國科技企業(yè)17 Microsoft：微軟公司，成立于 1975 年，跨國科技企業(yè)18 Duo：美國網(wǎng)絡安全公司，成立于 2010 年19 OKTA：美國網(wǎng)絡安全公司，成立于 2009 年20 Cent

31、rify：美國網(wǎng)絡安全公司，成立于 2004 年21 Ping Identity：美國網(wǎng)絡安全公司，成立于 2002 年22 Cisco：思科，成立于 1984 年，網(wǎng)絡解決方案供應商23 Akamai：阿卡邁，成立于 1998 年，互聯(lián)網(wǎng)服務供應商24 Symantec：賽門鐵克，成立于 1982 年，網(wǎng)絡安全公司25 VMware：威睿，成立于 1998 年，云基礎(chǔ)架構(gòu)和移動商務解決方案供應商26 F5：應用交付網(wǎng)絡和業(yè)務解決方案供應商，成立于 1996 年27 Vidder：初創(chuàng)企業(yè)，網(wǎng)絡安全公司28 Cryptzone：美國網(wǎng)絡安全公司，成立于 2008 年29 Zscaler：美國網(wǎng)

32、絡安全公司，成立于 2008 年30 Illumio：美國網(wǎng)絡安全公司，成立于 2013 年任解決方案收入，將該市場的供應商分為三類，見下表所示。其中， 零信任營收超過 1.9 億美元的廠商已有 10 余家，零信任已經(jīng)進入規(guī)范化、規(guī)?；a(chǎn)業(yè)發(fā)展階段。表 1 零信任解決方案市場供應商分析公司規(guī)模公司列表（字母排序）營收標準大型Akamai、Cisco、Fortinet、Google、Illumio、Microsoft、Okta、Palo Alto Networks、Proofpoint、Unisys收入超過 1.9 億美元中型AlgoSec、Armis、Centrify、Check Point

33、Software Technologies、FireMon、Forcepoint、Forescout、Gigamon、GitLab、Ionic Security、MobileIron、Tufin、Venafi收入在 0.35 億1.9 億美元小型A10 Networks、AppGate、Awingu Axis Security、BlackBerry、ClearedIn、ColorTokens、Edgewise、Guardicore、HyperQube、IDENProtect、Infocyte、ShieldX Networks、ThreatLocker、Zentera Systems收入少于 3

34、500萬美元數(shù)據(jù)來源：Forrester HYPERLINK l _bookmark38 31隨著技術(shù)的成熟和產(chǎn)業(yè)基礎(chǔ)的逐步完善，2019 年以來，美國軍方、聯(lián)邦政府和標準化組織紛紛發(fā)表各自的白皮書、評估報告和標準草案，闡述各自對零信任的認識和規(guī)劃。Forrester 在2019 年度預測： 轉(zhuǎn)型走向務實中明確指出零信任將在美國某些特定的領(lǐng)域成為標準的、階段性的網(wǎng)絡安全架構(gòu)。美國軍隊、政府將其作為優(yōu)先選用的網(wǎng)絡安全戰(zhàn)略和指導原則，并對其它行業(yè)產(chǎn)生深刻的影響。DIB HYPERLINK l _bookmark39 32作為美國國防部下屬專注于技術(shù)與創(chuàng)新的機構(gòu)于 2019 年 7月發(fā)布了 DIB

35、零信任架構(gòu)白皮書零信任安全之路，指導國防部網(wǎng)31 數(shù)據(jù)來源：Forrester，Now Tech: Zero Trust Solution Providers, Q2 202032 DIB：Defense Innovation Board，美國國防創(chuàng)新委員會絡實施零信任架構(gòu)。緊接著在 2019 年 10 月發(fā)布報告零信任架構(gòu)（ZTA）建議，建議國防部將零信任列為最高優(yōu)先事項實施。這兩個重量級文件的發(fā)布，反映出美國國防部對零信任的重要定位：零信任架構(gòu)是美國國防部網(wǎng)絡安全架構(gòu)的必然演進方向。作為聯(lián)邦政府顧問智囊的美國技術(shù)委員會-工業(yè)咨詢委員會，于2019 年 4 月發(fā)布了零信任網(wǎng)絡安全當前趨勢白皮

36、書。通過開展市場研究，評估了零信任技術(shù)成熟度和準備度、適合性、可擴展性和基于實際實現(xiàn)的可承受性，最終，對美國政府機構(gòu)采用零信任提出評估建議。（五）國內(nèi)零信任概念走向落地2019 年 9 月，工信部公開發(fā)布的關(guān)于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）中，將“零信任安全”列入需要“著力突破的網(wǎng)絡安全關(guān)鍵技術(shù)”。國內(nèi)安全廠商，一直以來都關(guān)注著零信任在國際上的發(fā)展并結(jié)合國內(nèi)實際場景進行落地實踐。奇安信、騰訊、阿里、華為、深信服、啟明等安全和互聯(lián)網(wǎng)廠商都利用各自在安全領(lǐng)域的技術(shù)優(yōu)勢，推出了零信任整體解決方案，并積極尋找機會，開展全面應用實踐；竹云、九州云騰等身份管理廠商積極推動身份管理技術(shù)在零信任

37、架構(gòu)上的應用；云深互聯(lián)、薔薇靈動、山石科技等廠商則積極推動 SDP、微隔離等零信任技術(shù)方案的應用實踐。2019 年以來，我國相關(guān)部委、部分央企、大型集團企業(yè)開始將零信任架構(gòu)作為新建 IT 基礎(chǔ)設(shè)施安全架構(gòu)；銀行、能源、通信等眾多領(lǐng)域和行業(yè)針對新型業(yè)務場景，開展采用零信任架構(gòu)的關(guān)鍵技術(shù)研究和試點示范。同時，我國也在積極推進零信任的標準化進程。2019 年 7 月，在中國通信標準化協(xié)會 CCSA TC8 WG3 HYPERLINK l _bookmark41 33第 60 次工作會議上，騰訊牽頭提交的零信任安全技術(shù)-參考框架行業(yè)標準正式通過評審，成為國內(nèi)首個立項的零信任安全技術(shù)行業(yè)標準。2020

38、年 5 月，在全國信息安全標準化技術(shù)委員會 2020 年第一次線上工作組“會議周”上，奇安信牽頭提出的信息安全技術(shù) 零信任參考體系架構(gòu)，在 WG4 HYPERLINK l _bookmark42 34（認證與鑒別組）工作組成功立項，這是零信任標準層面的首個國家標準，對接身份鑒別、認證、風險評估、可信計算環(huán)境等相關(guān)信息安全標準，確定零信任架構(gòu)組成、功能及內(nèi)外部組件間關(guān)系，對于應對數(shù)字化轉(zhuǎn)型與信息技術(shù)革新下的新型網(wǎng)絡環(huán)境的安全威脅，推進零信任在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、5G HYPERLINK l _bookmark43 35等領(lǐng)域的橫向應用，具有重大意義。33 CCSA TC8 WG3：China

39、 Communications Standards Association，中國通信標準化協(xié)會網(wǎng)絡與信息安全技術(shù)工作委員會安全管理工作組34 WG4：全國信息安全標準化技術(shù)委員會 認證與鑒別組35 5G：The 5th Generation Mobile Communication Technology，第五代移動通信技術(shù)二、零信任應用場景面向不同的應用環(huán)境、業(yè)務場景，零信任架構(gòu)有多種靈活的實現(xiàn)方式和部署模式。面向遠程辦公、云計算平臺、大數(shù)據(jù)中心、物聯(lián)網(wǎng)、5G 應用等典型場景，按照訪問主體和資源之間的關(guān)系，數(shù)據(jù)平面的訪問代理重點考慮采用便于和被保護資源相結(jié)合的部署模式，如“設(shè)備代理+網(wǎng)關(guān)”模式

40、、“資源門戶”模式、“設(shè)備應用沙箱”模式等，搭建安全的訪問通道，對訪問請求進行分流?？刂破矫娴脑L問控制引擎負責指揮，按照“先認證后連接”原則，建立、維持有效連接，實施對資源的安全訪問控制。在此過程中，持續(xù)開展安全監(jiān)控評估，對應用場景中出現(xiàn)的安全威脅及時響應，消減風險。（一）遠程辦公遠程辦公已經(jīng)逐步成為一種常態(tài)化的工作模式，這也是移動辦公延展后的必然結(jié)果。從國內(nèi) 2 月份以來的情況看，全民在抗擊疫情和復工復產(chǎn)兩手抓的形勢下，開始了規(guī)模龐大的居家遠程辦公，據(jù)第三方調(diào)查數(shù)據(jù)顯示，2020 年春節(jié)期間，中國有超過 3 億人遠程辦公 HYPERLINK l _bookmark46 36， 以前在辦公室開

41、展的工作全部搬回了員工的家中，不再局限于日常工作協(xié)同溝通、視頻會議等，包括遠程辦公平臺、遠程開發(fā)、遠程運維、遠程客服、遠程教學等等都已成為現(xiàn)實，遠程辦公已經(jīng)成為走出固定地點（如辦公室、寫字樓），隨時隨地的辦公形態(tài)。事實上，在歐美國家遠程辦公早就已經(jīng)成為一種常態(tài)化的辦公模式。在我國，遠程辦公36 全球抗疫云辦公云教育陡然升溫 環(huán)球網(wǎng) EB/OL.( 2020-03-21)2020-03-23. /article/3xVW4gmkvN7也將逐步作為未來工作模式之一，而不僅僅是特殊時期的一種辦公形式。應用場景分析在現(xiàn)在企業(yè)的信息化建設(shè)環(huán)境中，遠程辦公必須涵蓋的應用場景越來越復雜：接入人員和設(shè)備的多樣

42、性增加員工、外包人員、合作伙伴等各類人員，使用家用 PC HYPERLINK l _bookmark47 37、個人移動終端、企業(yè)管理設(shè)備等，從任何時間、任何地點遠程訪問業(yè)務。各種接入人員的身份和權(quán)限管理混亂，弱密碼屢禁不止；接入設(shè)備的安全性參差不齊，接入程序漏洞無法避免等，帶來極大的風險。企業(yè)資源暴露程度大幅度增加企業(yè)資源可能位于企業(yè)內(nèi)網(wǎng)服務器，也可能被企業(yè)托管在公有云上的數(shù)據(jù)中心；企業(yè)服務通常需要在不同的服務器之間交互，包括部署在內(nèi)網(wǎng)、公有云、私有云中的服務器。一個典型的場景，公有云上的網(wǎng)站服務器與內(nèi)網(wǎng)應用程序服務器通信后，應用程序服務器檢索獲得內(nèi)網(wǎng)數(shù)據(jù)，返回給網(wǎng)站服務器。資源信息基礎(chǔ)設(shè)施

43、與應用服務之間的關(guān)系越復雜，引入的系統(tǒng)風險越高。數(shù)據(jù)泄露和濫用風險大幅增加在遠程辦公過程中，企業(yè)的業(yè)務數(shù)據(jù)會在不同的人員、設(shè)備、系37 PC：Personal Computer，個人計算機統(tǒng)之間頻繁流動，原本只能存放于企業(yè)數(shù)據(jù)中心的數(shù)據(jù)也不得不面臨在員工個人終端留存的問題。同時，數(shù)據(jù)移動增加了數(shù)據(jù)“意外”泄露的風險，安全措施相對較弱的智能手機頻繁訪問企業(yè)數(shù)據(jù)也將對企業(yè)數(shù)據(jù)的機密性造成威脅。先進性和創(chuàng)新性近年來外部攻擊的規(guī)模、手段、目標等都在演化，有組織的、武器化的、以數(shù)據(jù)及業(yè)務為攻擊目標的高級持續(xù)攻擊屢見不鮮。利用遠程辦公找到漏洞，突破企業(yè)邊界后進行橫向移動訪問，成為最常見和最有效的攻擊手段之

44、一。常見遠程接入的方式主要有兩種，一種是通過端口映射將業(yè)務系 統(tǒng)直接在公網(wǎng)上開放；另一種是使用 VPN HYPERLINK l _bookmark48 38打通遠程網(wǎng)絡通道。各組織都在對自己的安全邊界進行“加固”，盡量使用 VPN 遠程接入而非 直接開放業(yè)務端口，增強威脅檢測的能力等等。然而，這些手段基本 上可以視作是傳統(tǒng)的邊界安全方案上的單點增強，難以系統(tǒng)性緩解遠 程移動辦公帶來的安全威脅。攻擊者可以輕易利用弱密碼破解或撞庫， 通過 VPN 進入內(nèi)網(wǎng)，甚至可以利用 VPN 漏洞、業(yè)務系統(tǒng)漏洞直接進行滲透，突破企業(yè)邊界，最終竊取有價值的數(shù)據(jù)資產(chǎn)。零信任安全架構(gòu)針對遠程辦公應用場景，不再采用持續(xù)

45、強化邊界的思維，不區(qū)分內(nèi)外網(wǎng)，針對核心業(yè)務和數(shù)據(jù)資產(chǎn)，梳理訪問這些資產(chǎn)的各種訪問路徑和場景，在人員、設(shè)備和業(yè)務之間構(gòu)建一張?zhí)摂M的、38 VPN：Virtual Private Network，虛擬專用網(wǎng)絡基于身份的邏輯邊界，針對各種場景構(gòu)建一體化的零信任動態(tài)訪問控制體系。主要包括以下創(chuàng)新點和先進性：構(gòu)建更安全的遠程辦公網(wǎng)絡通過實施“從不信任并始終驗證”，不同類型用戶只能按照預先確定的信任級別，訪問預先申請的企業(yè)資源，未預先申請的企業(yè)資源將無法被訪問，阻止企業(yè)內(nèi)部“漫游”情況。增強對企業(yè)應用和數(shù)據(jù)的保護在實施“按需受控訪問”的基礎(chǔ)上，有效整合資源保護相關(guān)的數(shù)據(jù)加密、網(wǎng)絡分段、數(shù)據(jù)防泄露等技術(shù)，保

46、護應用資源、數(shù)據(jù)在網(wǎng)絡中的傳輸和存儲，并優(yōu)先保護高價值資源。大面積減少攻擊暴露面用戶通過訪問認證之前，資源對用戶隱身；即便在用戶通過訪問認證和授權(quán)，成功進入網(wǎng)絡以后，零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部（互聯(lián)網(wǎng)可發(fā)現(xiàn)）和內(nèi)部（內(nèi)部威脅）攻擊面。減少違規(guī)行為的影響零信任架構(gòu)中，用戶只能按需獲得有限訪問權(quán)限，有助于限制違規(guī)操作、業(yè)務中斷、安全漏洞等的危害范圍和危害后果，降低了補救成本?？s減安全管理成本和潛在建設(shè)成本零信任架構(gòu)終結(jié)了安全防護手段各自為政的現(xiàn)狀，在零信任架構(gòu)實施時，可以通過與現(xiàn)有工具的集成，大幅度降低零信任潛在建設(shè)成本；零信任的“無邊界信任”思想減少

47、了 VPN 的使用，簡化了運營模式，縮減了安全管理成本。典型案例零信任架構(gòu)基于網(wǎng)絡所有參與實體的數(shù)字身份，對默認不可信的所有訪問請求進行加密、認證和強制授權(quán)，匯聚關(guān)聯(lián)各種數(shù)據(jù)源進行持續(xù)信任評估，并根據(jù)信任的程度對權(quán)限進行動態(tài)調(diào)整，最終在訪問主體和訪問客體之間建立一種動態(tài)的信任關(guān)系。針對遠程移動辦公場景，基于零信任架構(gòu)的安全參考架構(gòu)如下圖：圖 3 基于零信任架構(gòu)的遠程辦公安全參考架構(gòu)（二）大數(shù)據(jù)中心數(shù)字經(jīng)濟時代，數(shù)據(jù)是推動經(jīng)濟社會發(fā)展的必要生產(chǎn)要素，作為數(shù)據(jù)集中承載的數(shù)據(jù)中心，其重要性日益凸顯。面對新基建的歷史機遇，隨著 5G 網(wǎng)絡、人工智能、工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)的成熟，移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)

48、網(wǎng)、車聯(lián)網(wǎng)等新型應用場景的持續(xù)推廣帶來數(shù)據(jù)指數(shù)級增長，海量數(shù)據(jù)進入數(shù)據(jù)中心進行集中存儲和處理，對以數(shù)據(jù)中心為代表的計算基礎(chǔ)設(shè)施提出了更高的要求。特別在新冠肺炎疫 情防控中，各大城市的科技防疫、遠程辦公、遠程教育和電商消費都 離不開大數(shù)據(jù)中心的支撐，未來，隨著社會對于數(shù)據(jù)處理能力的需求 急劇增長，經(jīng)濟社會與人們?nèi)粘Ｉ顚⒃絹碓揭蕾囉诖髷?shù)據(jù)中心安全、穩(wěn)定的運行。應用場景分析大數(shù)據(jù)中心業(yè)務上要求數(shù)據(jù)集中與共享，一方面實現(xiàn)了多部門、多平臺、多業(yè)務的數(shù)據(jù)融合；另一方面在數(shù)據(jù)中心內(nèi)部打破了業(yè)務之間、部門之間的網(wǎng)絡邊界，實現(xiàn)互通互訪。大數(shù)據(jù)中心在實現(xiàn)數(shù)據(jù)的集中存儲與融合的同時，也將集中更多的風險，從而使其更

49、容易成為攻擊的目標。大數(shù)據(jù)中心面臨以下安全挑戰(zhàn)：針對高價值數(shù)據(jù)邊界的猛烈攻擊攻擊者大量利用弱口令、口令爆破等慣用伎倆，在登錄過程中突 破企業(yè)邊界、在傳輸過程中截獲或偽造登錄憑證。大型組織甚至國家 發(fā)起的 APT HYPERLINK l _bookmark51 39高級攻擊，還可以繞過或攻破數(shù)據(jù)中心的訪問權(quán)限邊界， 在數(shù)據(jù)中心內(nèi)部進行橫向訪問。內(nèi)部員工對數(shù)據(jù)的惡意竊取在非授權(quán)訪問、員工無意犯錯等情況下，“合法用戶”非法訪問特定的業(yè)務和數(shù)據(jù)資源后，造成數(shù)據(jù)中心內(nèi)部數(shù)據(jù)泄漏，甚至可能發(fā)39 APT：Advanced Persistent Threat，高級持續(xù)性威脅零信任技術(shù)（Zero Trust）

50、（2020 年）40VLAN：Virtual Local Area Network，虛擬局域網(wǎng) PAGE 20生內(nèi)部員工“獲取”管理員權(quán)限，導致更大范圍、更高級別的數(shù)據(jù)中心災難性事故。先進性和創(chuàng)新性目前大數(shù)據(jù)中心訪問中東西向（內(nèi)部）流量大幅度增加，而傳統(tǒng)的安全產(chǎn)品基本都是在南北向業(yè)務模型的基礎(chǔ)上進行研發(fā)設(shè)計的，在大數(shù)據(jù)中心內(nèi)部部署使用時，出現(xiàn)諸如部署困難、運算開銷太高，策略管理不靈活等問題。零信任架構(gòu)通過微隔離技術(shù)，實現(xiàn)環(huán)境隔離、域間隔離、端到端隔離，根據(jù)環(huán)境變化自動調(diào)整策略，具有以下先進性和創(chuàng)新性：精細化隔離的網(wǎng)絡安全策略零信任通過關(guān)閉網(wǎng)絡中的無用服務，消減網(wǎng)絡結(jié)構(gòu)(例如，不再采用 VLAN

51、 HYPERLINK l _bookmark52 40、子網(wǎng)、區(qū)域或 IP 地址等管理方式)，改進策略創(chuàng)建過程，在不同等級的網(wǎng)絡區(qū)域邊界設(shè)置訪問控制規(guī)則，建立扁平化的網(wǎng)絡管理，真正實現(xiàn)精細化部署。以身份為基石的邏輯邊界零信任將用戶、設(shè)備和應用程序組合作為訪問主體，對訪問主體進行身份鑒別和安全監(jiān)測，并將其作為訪問控制信任基礎(chǔ)，保證身份可信、設(shè)備可信。同時，將訪問主體到大數(shù)據(jù)中心內(nèi)部資源的連接進行隔離，建立細粒度訪問權(quán)限控制，防止訪問主體越權(quán)訪問。零信任技術(shù)（Zero Trust）（2020 年）21安全策略自適應調(diào)整基于業(yè)務之間的訪問邏輯，快速發(fā)現(xiàn)內(nèi)部不合規(guī)訪問流量，為安全策略的調(diào)整提供決策依據(jù)

52、。當數(shù)據(jù)中心發(fā)生變化時，通過策略分析引擎的計算，快速自動配置安全策略，加速安全工作流程，減少人為錯誤風險。典型案例內(nèi)部隔離數(shù)據(jù)中心應用資源和數(shù)據(jù)資源采用設(shè)備應用沙箱隔離模式部署， 通過分配虛擬機隔離或者使用內(nèi)部防火墻設(shè)置隔離區(qū)域，對外服務接口采用特殊應用或者API HYPERLINK l _bookmark54 41服務實現(xiàn)對接。數(shù)據(jù)中心內(nèi)部隔離服務訪問流程如下圖所示：圖 4 數(shù)據(jù)中心內(nèi)部訪問流程示意圖 設(shè)置安全接入?yún)^(qū)數(shù)據(jù)中心外部設(shè)置安全接入?yún)^(qū)，所有用戶接入、終端接入、API 調(diào)用都通過安全接入?yún)^(qū)訪問數(shù)據(jù)中心，實現(xiàn)內(nèi)部、外部用戶和應用對41 API：Application Programmin

53、g Interface，應用程序接口于數(shù)據(jù)中心 API 服務的安全接入，并且可根據(jù)訪問主體實現(xiàn)細粒度的訪問授權(quán)。在訪問過程中，可基于用戶環(huán)境的風險狀態(tài)動態(tài)調(diào)整授權(quán)， 以持續(xù)保障數(shù)據(jù)訪問的安全性。圖 5 數(shù)據(jù)中心安全接入?yún)^(qū)案例示意圖（三）云計算平臺云計算以按需自助服務、泛在接入、資源池化、快速伸縮性與服 務可計量為特征，同時，云計算作為基礎(chǔ)支撐平臺，參與角色復雜， 包括云服務商、云服務客戶、云審計者、云代理者和云基礎(chǔ)網(wǎng)絡運營 者等。在過去十年，隨著云計算技術(shù)的快速發(fā)展，云的形態(tài)也在不斷 演進。云計算快速發(fā)展帶來“云邊協(xié)同”、“云網(wǎng)融合”等云計算硬件 和網(wǎng)絡體系的結(jié)構(gòu)重組，以容器、微服務、DevO

54、ps HYPERLINK l _bookmark57 42為代表的云原生 技術(shù)成為主流支撐技術(shù)。云平臺特定技術(shù)引入的管理短板和技術(shù)瓶頸， 使云平臺面臨極大安全威脅，成為發(fā)生網(wǎng)絡攻擊的重災區(qū)。應用場景分析42 DevOps：Development & Operations，過程、方法與系統(tǒng)的統(tǒng)稱云計算技術(shù)的快速發(fā)展帶來了云平臺的大量部署、應用和數(shù)據(jù)的大量遷移，在龐大復雜的云環(huán)境下，如何保證云系統(tǒng)資源安全，保證云服務提供商為云消費者提供安全誠信的服務，同時阻止非法用戶對云資源的訪問，成為云安全亟需解決的問題。云平臺面臨以下安全問題的挑戰(zhàn)：云管理服務的安全性要求未嚴格滿足云管理服務的安全性要求會導致

55、系統(tǒng)性風險。為保障云服務的安全性和可用性，通常云服務提供商會提供一組軟件用戶界面或 API，供客戶用來管理云服務，實際使用過程中由于客戶能力不足、意識不強等各種原因，這些安全功能往往形同虛設(shè)。此外，客戶可能直接將應用程序轉(zhuǎn)移到云中，云應用程序和影子程序共存情況下也會開放新的訪問通道。共享技術(shù)漏洞帶來的威脅支持云服務基礎(chǔ)設(shè)施的基本組件隔離程度不足，多租戶架構(gòu)或多客戶應用的情況下，不同企業(yè)的系統(tǒng)彼此相鄰，并且可以訪問共享內(nèi)存和資源，從而為攻擊者創(chuàng)建了新的暴露面。云平臺開源代碼自身風險云計算技術(shù)借助開源技術(shù)取得巨大發(fā)展的同時，也面臨極大威脅。開源代碼自身的開放性，也給了不法分子機會，例如針對容器基礎(chǔ)

56、設(shè) 施的攻擊在加速，不斷有容器漏洞被利用的情況出現(xiàn)。先進性和創(chuàng)新性云計算逐漸進入到重新定義服務模式的發(fā)展路徑，專為云計算模型開發(fā)的云原生技術(shù)，涵蓋一系列云計算技術(shù)體系和管理方法，可幫助用戶快速將應用構(gòu)建和部署到與硬件解耦的平臺上。企業(yè)部署在云上的應用具備更高的敏捷性、彈性和云間的可移植性，廣泛支持包括Kubernetes HYPERLINK l _bookmark58 43、OpenShift HYPERLINK l _bookmark59 44、Docker EE HYPERLINK l _bookmark60 45、OpenStack HYPERLINK l _bookmark61 46和

57、裸金屬服務等平臺。隨著越來越多的公有云上服務組件被使用，SaaS HYPERLINK l _bookmark62 47安全也變得越來越重要，其中，用戶最關(guān)注服務的身份認證、訪問控制以及數(shù)據(jù)保護。在云計算中實施零信任訪問控制，采用適配云計算平臺、工作負載的技術(shù)，確保只有經(jīng)過動態(tài)授權(quán)的工作負載才能運行、交互或進行數(shù)據(jù)訪問。具有以下的先進性和創(chuàng)新性：實施細粒度的訪問控制零信任采用適用于虛擬機、容器、微服務等云平臺組件的微分段策略，將網(wǎng)絡策略和身份策略相結(jié)合，只允許數(shù)據(jù)在許可的系統(tǒng)和連接之間流動，并在不斷變換的云環(huán)境進行更新時保持細粒度的訪問控制。其中微分段策略不受虛擬、動態(tài)資產(chǎn)的物理位置限制。面向微

58、服務的隔離機制零信任基于微服務管理平臺所提供的連接、安全、控制和觀測模43 Kubernetes：一個開源的，用于管理云平臺中多個主機上的容器化的應用44 OpenShift：紅帽公司面向開源開發(fā)人員開放的平臺即服務45 Docker EE：Docker enterprise edition，Docker 企業(yè)版本，Docker 是一個開源的應用容器引擎46 OpenStack：一個開源的云計算管理平臺項目，是一系列軟件開源項目的組合47 SaaS：Software-as-a-Service，軟件即服務塊，實現(xiàn)應用程序或服務隔離，幫助開發(fā)人員聚焦核心的業(yè)務邏輯， 實施流量監(jiān)控、負載匹配、訪問控

59、制和審計?！跋日J證后連接”的微服務通過基于身份的驗證和授權(quán)，對微服務間的訪問進行鑒權(quán)，取得授權(quán)后在全鏈路采用雙向 mTLS HYPERLINK l _bookmark63 48進行加密，在集群中實現(xiàn)安全的服務間通信，通過自適應的訪問控制來執(zhí)行最小化的訪問控制策略。典型案例網(wǎng)絡安全形勢日漸嚴峻的同時，企業(yè)內(nèi)部使用的微服務、容器編排和云計算資源池等技術(shù)架構(gòu)導致云計算環(huán)境也越來越復雜。在此背景下，企業(yè)可通過梳理云平臺內(nèi)部資源，建立微隔離機制（參照“大數(shù)據(jù)中心”應用場景），實現(xiàn)零信任安全架構(gòu)。在通過分析內(nèi)部人員訪問路徑、外部人員訪問通道、外部應用調(diào)用、外部數(shù)據(jù)服務平臺對接通道等確定其暴露面后，可部署相

60、應訪問代理，在可信訪問控制臺的控制下，基于微服務管理平臺等建立動態(tài)的虛擬身份邊界，并通過計算環(huán)境感知等安全信息分析平臺數(shù)據(jù)，建立最小權(quán)限動態(tài)訪問控制體系。48 mTLS：Mutual Transport Layer Security，雙向安全傳輸層協(xié)議圖 6 基于零信任架構(gòu)的云計算平臺安全參考架構(gòu)（四）物聯(lián)網(wǎng)萬物互聯(lián)時代，5G、大數(shù)據(jù)、人工智能等新技術(shù)為物聯(lián)網(wǎng)帶來了創(chuàng)新活力，催生了智能家居、智慧車聯(lián)、個人智能穿戴等新興應用領(lǐng)域，衍生出繁榮多樣的物聯(lián)網(wǎng)業(yè)務，同時，物聯(lián)網(wǎng)可以提供先前設(shè)備缺少的數(shù)據(jù)存儲、網(wǎng)絡連接以及計算功能，賦予設(shè)備新的效率和技術(shù)能力。在物聯(lián)網(wǎng)越來越普及的同時，網(wǎng)絡安全問題也甚囂塵