零信任發(fā)展研究報告（2023年）

零信任發(fā)展研究報告（2023年）中國信息通信研究院云計算與大數(shù)據(jù)研究所2023年8

月版

權

聲

明本報告版權屬于中國信息通信研究院，并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：中國信息通信研究院”。違反上述聲明者，本院將追究其相關法律責任。前

言近年來，云計算、大數(shù)據(jù)等新一代信息技術與實體經濟加速融合，產業(yè)數(shù)字化轉型迎來發(fā)展新浪潮。企業(yè)

IT

架構從建設到運營發(fā)生極大變革，防護機制從以網絡邊界為核心向以身份為核心的零信任轉變，零信任產業(yè)已形成蓬勃發(fā)展的良好態(tài)勢，愈發(fā)得到行業(yè)關注。中國信通院持續(xù)跟蹤零信任發(fā)展歷程，曾在

2020

年

8

月、2021年

5月發(fā)布《網絡安全先進技術與應用發(fā)展系列報告——零信任技術（Zero

Trust）》1、《數(shù)字化時代零信任安全藍皮報告》2等研究報告，對零信任基本原則、邏輯架構組成、通用應用場景等進行了闡述。2023年發(fā)布《零信任發(fā)展研究報告》，報告聚焦過去兩年多零信任產業(yè)的新發(fā)展新變化。報告首先介紹了數(shù)字化轉型深化后企業(yè)

IT

架構所面臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應對新的安全威脅。其次從零信任供應側和零信任應用側兩大視角對我國零信任產業(yè)的發(fā)展情況與應用痛點進行觀察和分析。在零信任供應側方面，梳理了國內各零信任廠商安全水平概況，分析了重點行業(yè)零信任市場近三年發(fā)展態(tài)勢。在零信任應用側方面，基于對重點行業(yè)用戶的調研結果，從零信任建設前期、建設中期和使用運營期，分析了用戶零信任建設過程中的痛點、肯定與思考，為零信任供應側提升和優(yōu)化能力提供指引，同時增強應用側用戶的落地信心。最后總結了零信任技術發(fā)展趨勢，并對零信任產業(yè)發(fā)展提出建議。1

/kxyj/qwfb/ztbg/202008/t20200812_302242.htm2

/kxyj/qwfb/ztbg/202105/t20210521_377790.htm目

錄一、

零信任保障資源可信訪問，應用價值日益凸顯..............................................1（一）

零信任彌補傳統(tǒng)安全防護機制缺陷.........................................................1（二）

零信任為新的安全場景提供有力保障.....................................................4（三）

零信任相關政策與標準涌現(xiàn)，驅動產業(yè)規(guī)范發(fā)展.................................7二、

產業(yè)供應側調研洞察：零信任能力生態(tài)逐漸成熟........................................10（一）

圍繞六大領域能力，建立產品體系.......................................................10（二）

行業(yè)應用不斷深化，零信任市場步入成長期.......................................20三、

產業(yè)應用側調研洞察：用戶對零信任建設尚存顧慮，同時肯定零信任核心價值

25（一）

零信任從零到一，落地部署面臨多重阻礙...........................................25（二）

微隔離市場向好，用戶看重網絡分段能力...........................................27（三）

應用價值受肯定，仍需避免重建設輕運營...........................................28四、

我國零信任發(fā)展趨勢及建議............................................................................30（一）

零信任技術發(fā)展呈三點趨勢...................................................................30（二）

零信任產業(yè)發(fā)展的四點建議...................................................................32圖

目

錄圖

1

基于零信任理念的邏輯架構

..............................................................................1圖

2

我國零信任供應側發(fā)展路徑

............................................................................14圖

3

供應側

SaaS化情況

..........................................................................................16圖

4

供應側零信任能力分布

....................................................................................17圖

5

身份安全產品聯(lián)動情況

....................................................................................17圖

6

安全管理產品聯(lián)動情況

....................................................................................18圖

7

終端安全產品聯(lián)動情況

....................................................................................19圖

8

供應側企業(yè)落地零信任客戶數(shù)量區(qū)間

............................................................21圖

9

微隔離類產品納管工作負載總數(shù)

....................................................................22圖

10

軟件定義邊界類產品納管員工總數(shù)

..............................................................23圖

11

零信任應用環(huán)境情況

......................................................................................24圖

12

落地零信任使用場景情況

..............................................................................25圖

13

統(tǒng)一整個基礎設施的策略管理

......................................................................31圖

14

身份信息穿透業(yè)務訪問全程

..........................................................................32表

目

錄表

1國外零信任相關政策

...........................................................................................7表

2零信任安全能力與子能力

.................................................................................12零信任發(fā)展研究報告（2023年）一、零信任保障資源可信訪問，應用價值日益凸顯零信任秉持“永不信任，持續(xù)驗證”的理念受到業(yè)內廣泛關注，其打破了網絡位置和信任間的潛在默認關系，致力于降低企業(yè)資源訪問過程中的安全風險?；诹阈湃卫砟畹倪壿嫾軜嬋鐖D

1所示，由零信任核心邏輯組件和內部或外部數(shù)據(jù)源組成，零信任核心部分分為控制平面和數(shù)據(jù)平面。來源：NIST圖

1

基于零信任理念的邏輯架構位于數(shù)據(jù)平面的訪問主體發(fā)起訪問請求，由控制平面的策略引擎進行身份認證與多源評估計算，由控制引擎對計算結果進行判定，決定授權策略，一旦授權訪問，控制引擎將通知數(shù)據(jù)平面的安全代理，為該次訪問建立安全連接。策略引擎仍持續(xù)對訪問進行評估，一旦參與因素或其行為發(fā)生變化，策略引擎將依據(jù)新的評估源重新評估，控制引擎將依據(jù)評估結果判定授權策略是否需要改變，隨時通知安全代理執(zhí)行相應操作，最大限度保障資源安全。（一）

零信任彌補傳統(tǒng)安全防護機制缺陷1.

IT架構從封閉走向開放，傳統(tǒng)安全防護架構面臨挑戰(zhàn)1零信任發(fā)展研究報告（2023年）近年來，國家高度重視和支持數(shù)字經濟發(fā)展，大力支持產業(yè)數(shù)字化，同時，用戶需求不斷升級，驅動企業(yè)加速數(shù)字化轉型進程。傳統(tǒng)企業(yè)安全架構基于網絡邊界構建信任域，隨著數(shù)字化不斷深入，邊界逐漸消失，企業(yè)

IT

架構面臨更多安全挑戰(zhàn)：一是數(shù)據(jù)中心內部東西向流量安全防護薄弱。隨著應用云化，構建方式微服務化，服務間需進行頻繁的通信和交互，數(shù)據(jù)中心內部互訪力量增多。傳統(tǒng)安全防護側重南北向，若有東西向流動的惡意流量，無法提供防護。二是安全策略仍待細化。隨著虛擬化、容器等云計算技術的廣泛使用，企業(yè)納管資源粒度不斷細化，安全防護策略也需隨資源粒度的細化而細化，以承載不同類型、不同級別的業(yè)務。三是跨云的連接、數(shù)據(jù)傳輸使得資源暴露面增大。隨著

5G

與分布式云的融合，用戶得以在任意時間使用任意設備從任意位置快速獲取資源，然而云間的連接點尤為脆弱，攻擊者可以通過攻擊進入云中，并在云間實現(xiàn)威脅滲透。四是防火墻與

VPN

無法保證用戶操作合法性。無界辦公需求增多，用戶接入方式復雜多樣，傳統(tǒng)的網關安全防護設備無法判斷擁有賬號、密碼的用戶身份是否合法、操作行為是否符合其身份。隨著遠程辦公常態(tài)化，數(shù)字化工作空間規(guī)?；褂茫K端和身份面臨更多不可信問題：一是網絡接入位置和時間多變，用戶不可控性增加。外網連接占比增多，時間從集中變得分散，大量外網訪問行為中可能混雜著黑客行為，僅依靠傳統(tǒng)

VPN（Virtual

Private

Network，虛擬專用網絡）技術難以對用戶身份是否合法進行有效判斷。二是使用未受管控設備辦公，致使風險要素增多。過去員工主要使用企業(yè)派2零信任發(fā)展研究報告（2023年）發(fā)的固定設備辦公，由于默認內網安全，終端管控手段較為簡單。隨著使用

BYOD（Bring

Your

Own

Device，自帶設備）與移動設備辦公的員工逐漸增多，企業(yè)數(shù)據(jù)將與未知下載路徑的私人應用共享同一空間，關鍵數(shù)據(jù)所有權模糊，且與企業(yè)派發(fā)設備相比，BYOD軟硬件環(huán)境的安全狀態(tài)更加難以預測，傳統(tǒng)終端管控手段難以應對。三是供應鏈協(xié)作觸發(fā)業(yè)務流轉，數(shù)據(jù)保護難度增大。隨著數(shù)字化業(yè)務的開展，數(shù)據(jù)由靜止轉向流動，保護對象時刻更迭，其所應授予權限也處于變化狀態(tài)，傳統(tǒng)數(shù)據(jù)安全防護手段無法依據(jù)數(shù)據(jù)重要等級進行差異化防護，且各企業(yè)安全管理機制有差異，防御能力參差不齊，難以有效保護。隨著數(shù)字經濟走深向實，企業(yè)不斷開展產品服務創(chuàng)新實現(xiàn)業(yè)務轉型，企業(yè)將面臨新的特性威脅：一是業(yè)務面臨更多欺詐威脅。數(shù)字化轉型賦能業(yè)務模式創(chuàng)新，新零售等新業(yè)務形式涌現(xiàn)，優(yōu)化整合線上線下資源，數(shù)字化零售業(yè)務從線下轉向線上，新零售面臨大量欺詐、羊毛、作弊、盜用、虛假信息、刷單等業(yè)務安全威脅，傳統(tǒng)安全防護手段無法有效解決。二是物聯(lián)網終端安全防護能力差異大，終端設備易被入侵。物聯(lián)網具備獨特的組網模式，通信傳輸體系復雜，通信協(xié)議安全性差，且智能產品多處于網絡邊緣，終端安全防護能力差異較大，大量傳統(tǒng)安全防護手段主要解決以太網安全問題，物聯(lián)網終端設備易受入侵和劫持，邊界安全防護無法覆蓋到位。2.

零信任規(guī)避傳統(tǒng)安全機制中過度信任問題傳統(tǒng)安全機制失效背后的根本原因是過度信任，零信任不為任何3零信任發(fā)展研究報告（2023年）參與因素預置信任條件，其根本也是為了解決信任問題，通過動態(tài)的、持續(xù)的驗證，判斷訪問主客體之間是否存在信任關系，以對主體到客體間的資源訪問進行實時防護，具體表現(xiàn)在：一是面向資源管理而非網絡。零信任將一切視為資源，任意粒度、任意位置的訪問主體對資源的訪問都需要進行認證和授權，企業(yè)內部資源間的互相訪問也需要進行身份驗證和權限判定，能夠有效抵御威脅橫向移動帶來的安全風險。二是屏蔽安全策略預分配帶來的威脅。零信任能夠對物理設備、云服務、接口等所有層級的資源進行防護，在訪問主體身份驗證和權限判定成功后，僅為其提供滿足需要的最小粒度的資源，細化安全策略至資源層面。三是資源對外隱身。利用端口隱藏等技術手段，在訪問主體通過驗證之前，受訪資源對其隱身，大大降低了資源的可見性和攻擊暴露面，減少不可控、不可見的安全威脅所帶來的攻擊。四是以身份為核心執(zhí)行動態(tài)安全防護。零信任強調通過身份信息與多源數(shù)據(jù)對每一個訪問行為進行信任評估，動態(tài)授予相應權限，能夠對內部訪問、遠程訪問和數(shù)據(jù)交互的人員、設備、環(huán)境等進行有效的安全把控，緩解憑據(jù)盜用、高風險誤操作等帶來的安全威脅。（二）

零信任為新的安全場景提供有力保障1.

零信任保障軟件供應鏈安全近年來，軟件供應鏈攻擊規(guī)模持續(xù)增長，調查顯示

3，過去三年全球軟件供應鏈攻擊的平均年增長率高達

742%。零信任的應用能夠抵御上游供應商、軟件開發(fā)流程和工具的安全風險，是企業(yè)軟件供應3

Sonatype《8thState

ofthesoftwaresupplychain》4零信任發(fā)展研究報告（2023年）鏈安全建設的有效舉措。一是限制上游供應商權限，零信任基于最小化權限原則對供應商的訪問過程進行動態(tài)授權，防止攻擊者以供應商為跳板侵入企業(yè)網絡環(huán)境后進行橫向移動，收斂軟件供應鏈攻擊的風險范圍；二是助力研發(fā)運營關鍵環(huán)節(jié)的風險監(jiān)測與安全準入，零信任與安全左移相融合，默認第三方組件、容器鏡像、代碼倉庫等實體不可信任，在研發(fā)運營流程中通過多層次的自動化安全檢查，發(fā)現(xiàn)各實體的漏洞、運行時攻擊等風險，保障軟件供應鏈交界面的安全研發(fā)與交付。2.

零信任抵御勒索軟件攻擊當前，勒索軟件攻擊形勢嚴峻，對關鍵信息基礎設施等領域造成嚴重影響，據(jù)預測

4，勒索軟件損失到

2031

年將達到

2650

億美元?；诹阈湃卫砟畹陌踩雷o架構可幫助企業(yè)降低勒索軟件攻擊風險，提升威脅進入壁壘，主要表現(xiàn)在以下幾個方面：一是身份驗證貫穿訪問始終，零信任默認安全風險無處不在，不為訪問主體預置信任，在訪問過程中持續(xù)驗證身份，加大攻擊者滲透整個網絡的難度；二是訪問行為的持續(xù)監(jiān)測，勒索軟件在攻入企業(yè)內網后，會對關鍵數(shù)據(jù)的位置進行掃描，零信任通過對訪問主體各行為進行監(jiān)測，識別高危動作，及時執(zhí)行訪問降級或阻斷；三是網絡微分段精細化流量管理，攻擊者可能控制某些脆弱的單點，當其通過已攻擊的終端向網絡內部更重要系統(tǒng)橫向滲透，通過網絡微分段將網絡劃分成細小的分段，阻止勒索軟件在網絡中進行橫向移動，從而將勒索軟件的影響從企業(yè)內網多臺4

世界經濟論壇《2022

年全球網絡安全展望報告》5零信任發(fā)展研究報告（2023年）業(yè)務服務器和數(shù)據(jù)存儲服務器降低至單一用戶的電腦，將風險控制在最小限度。如

Akamai

通過收購

Guardicore及其一流的網絡微分段解決方案，以應對

Conti

的勒索威脅；四是多因子認證強度可動態(tài)變化，當訪問認證通過率較高時，可以降低多因子認證強度以提升用戶體驗，當訪問主體信譽度較低時，可提升多因子認證強度，降低組織中最主要攻擊類型的脆弱性并增加潛在威脅者接管賬戶難度。3.

零信任促進公共數(shù)據(jù)與服務安全開放抗擊新冠疫情的過程充分彰顯了公共數(shù)據(jù)和服務的價值意義。為了有效應對突發(fā)事件、提升經濟和社會公平性，全球多國積極推進數(shù)字公共基礎設施的建設，促進公共數(shù)據(jù)和服務的開放。零信任理念能夠提升數(shù)字公共基礎設施的安全訪問，保障公共數(shù)據(jù)和服務的價值釋放

。一是建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，零信任為人、企業(yè)組織等實體建立唯一數(shù)字身份標識，避免實體通過多個身份賬號獲取額外的公共福利，如印度多個福利項目基于數(shù)字身份系統(tǒng)

Aadhaar清理受益名單；同時，數(shù)字身份的發(fā)放能夠打破地區(qū)局限，任何地方的任何人都可以方便獲得唯一的數(shù)字身份，有效促進發(fā)展援助、國際合作等方面的發(fā)展。二是最小化動態(tài)授權避免數(shù)據(jù)和服務的濫用，零信任能夠對數(shù)字公共基礎設施的每一個訪問進行風險評估并授予最小權限，驗證訪問主體是數(shù)字身份的真實持有人，同時確保數(shù)字身份的真實持有人僅能獲取權益內的公共數(shù)據(jù)和服務。6零信任發(fā)展研究報告（2023年）（三）

零信任相關政策與標準涌現(xiàn)，驅動產業(yè)規(guī)范發(fā)展零信任已經從一個新興安全理念發(fā)展成為全球網絡安全的關鍵技術，商業(yè)模式走向成熟，市場逐步規(guī)模化，已成為了政企數(shù)字化轉型的首選安全戰(zhàn)略。以美國為首的發(fā)達國家高度重視零信任能力建設。如表

1

所示，自

2019

年起，美國陸續(xù)發(fā)布零信任指導建議、計劃等推動零信任在美落地，其他發(fā)達國家也紛紛在零信任領域展開布局，以強化網絡空間話語權。2022年

11

月

22日，美國國防部發(fā)布了

《國防部零信任戰(zhàn)略》和《國防部零信任能力執(zhí)行路線圖》，計劃在

2027年之前實施戰(zhàn)略和相關路線圖中概述的獨特的零信任能力和活動。2023

年

4

月11

日，CISA（美國網絡安全和基礎設施安全局）發(fā)布第二版零信任成熟度模型，旨在降低美國機構實施零信任的壁壘。種種舉措顯示美國正加速在零信任領域的研究與應用。表

1

國外零信任相關政策時間政策發(fā)布組織名稱美國側重點ACT-IAC（美國技術委員

《零信任網絡安全當前

對政府機構采用零信2019.042019.07會-工業(yè)咨詢委員會）趨勢》任進行評估DIB（美國國防創(chuàng)新委員會）指導國防部實施零信任架構《零信任安全之路》2019.07

DISA（美國國《DISA戰(zhàn)略計劃

2019-

明確

DISA

網絡防御7零信任發(fā)展研究報告（2023年）防信息系統(tǒng)局）2022》戰(zhàn)略重點為零信任《零信任架構（ZTA）建

建議將零信任實施列2019.102021.02DIB議》為最高優(yōu)先事項建議

DoD

下一代網絡安全架構基于零信任建設《國防部零信任參考結DISA構》1.0NSA（美國國家《擁抱零信任安全模型》提出漸進式部署零信任方式2021.022021.05安全局）發(fā)動聯(lián)邦政府遷移上云使用零信任架構美國總統(tǒng)拜登14028號行政令OMB（聯(lián)邦政《美國政府向零信任網

要求各機構在

2024年2021.09

府管理和預算辦

絡安全原則的遷移》（征

前實現(xiàn)具體的零信任公室）CISA（網絡安求意見稿）安全目標《零信任成熟度模型》

細化五個“具體的零信2021.09

全和基礎設施安全局）（征求意見稿）任安全目標”《云安全技術參考架構》（征求意見稿）推薦采用零信任輔助遷移上云2021.09CISA概述國防部計劃如何在

2027年前在國防部范圍全面實施零信任網絡安全框架《國防部零信任戰(zhàn)略》、2022.11

DoD（國防部）

《國防部零信任能力執(zhí)行路線圖》為機密網絡開發(fā)零信任安全和網絡架構計劃原型2023.22023.4DISACISA雷霆穹頂?shù)诙A段《零信任成熟度模型》

降低美國機構實施零（第二版）英國信任的壁壘2020.10

NCSC（英國國《零信任架構設計原積極響應美國零信任8零信任發(fā)展研究報告（2023年）家網絡安全中心）則》戰(zhàn)略，為政企機構實施零信任提供參考加拿大加拿大政府部門2021.03

機構-共享服務部采用零信任等新方法支撐未來網絡服務《網絡與安全戰(zhàn)略》新加坡要求相關機構實現(xiàn)從2021.10新加坡政府《網絡安全戰(zhàn)略

2021》

邊界防護向零信任安全模式轉變來源：公開材料整理我國加大政策保障，推動零信任落地。目前我國正在從政策、行業(yè)實踐、產業(yè)發(fā)展等多個層面對零信任進行積極探索，工業(yè)和信息化部通過多種舉措引導零信任發(fā)展，前期以推動零信任理論研究和技術創(chuàng)新為主，后期加強零信任技術應用，推動項目落地，具體表現(xiàn)為：一是，發(fā)布《網絡安全產業(yè)高質量發(fā)展三年行動計劃（2021-2023年）》，重點圍繞“加快開展基于開發(fā)安全運營、主動免疫、零信任等框架，推動創(chuàng)新技術發(fā)展與網絡安全體系研發(fā)。加快發(fā)展動態(tài)邊界防護技術，鼓勵企業(yè)深化微隔離、軟件定義邊界、安全訪問服務邊緣框架等技術產品應用”等內容展開。二是，多個零信任項目入選重點領域試點示范項目名單，包括“2022

年網絡安全技術應用試點示范項目名單”、“2021年大數(shù)據(jù)產業(yè)發(fā)展試點示范項目名單”等。我國已從多層級啟動零信任標準研究，協(xié)助建立產業(yè)規(guī)范。為落實國家網絡信息安全相關要求，我國已從多層級開展零信任標準研究。國際標準方面，由中國企業(yè)主導的

ITU-T（國際電信聯(lián)盟電信標準分9零信任發(fā)展研究報告（2023年）局）零信任國際標準《服務訪問過程持續(xù)保護指南》正式發(fā)布；國家標準方面，全國信息安全標準化技術委員會正在開展《信息安全技術零信任參考體系架構》的編制；行業(yè)標準方面，中國通信標準化協(xié)會正在開展《面向云計算的零信任體系

第

2部分：關鍵能力要求》、《面向云計算的零信任體系

第

6

部分：數(shù)字身份安全能力要求》、《面向云計算的零信任成熟度評價模型》、《零信任安全技術參考框架》與《網絡安全產品能力評價體系

第

11

部分：基于零信任架構的業(yè)務安全平臺評價方法》等標準的研究工作。二、產業(yè)供應側調研洞察：零信任能力生態(tài)逐漸成熟零信任供應側方面，本報告調研了近五十家國內零信任廠商，梳理零信任所涵蓋的六大領域，洞察各廠商零信任安全水平概況，分析其在重點行業(yè)零信任市場近三年向好發(fā)展態(tài)勢，以增強零信任產業(yè)蓬勃向好發(fā)展的信心。（一）

圍繞六大領域能力，建立產品體系1.

零信任能力涵蓋六大領域對于網絡攻擊者，只需要找到整個網絡防護的一個脆弱點即可攻破網絡，而作為網絡安全防護者，需要進行整體的防御。因此，基于零信任理念展開的安全防護不單獨強調技術，而是強調解決了哪個領域的安全問題。本報告中，零信任能力涵蓋六大領域，如表

2所示：數(shù)字身份是基礎組件、是核心，聯(lián)合網絡環(huán)境安全、終端安全、數(shù)據(jù)安全、應用工作負載安全和安全管理五個關鍵能力，共同賦能企業(yè)整體安全防御。10零信任發(fā)展研究報告（2023年）數(shù)字身份主要解決用戶身份不統(tǒng)一，以及

IT

架構中所有對象數(shù)字身份缺失、不合法等問題。一是，對接入用戶、組織架構、設備、應用賦予唯一身份標識，并對其數(shù)字身份進行全生命周期管理，完成身份的自動化管控；二是，通過持續(xù)的身份認證，確保訪問主體在整個資源訪問過程中身份的合法性。網絡環(huán)境安全主要解決威脅的橫向移動，以及傳輸數(shù)據(jù)被竊取等問題。一是，將資源劃分到一個個微小的網絡分段中，分段間通過策略隔離，阻止威脅的擴散；二是，對網絡傳輸鏈路進行加密，以保證數(shù)據(jù)傳輸過程中的安全性。終端安全主要解決使用移動終端辦公難以對設備進行管控，以及不同終端的安全基礎不同易引入威脅等問題。一是，加強終端威脅檢測，實現(xiàn)終端安全狀況可感；二是，對所有連入企業(yè)網絡的移動終端進行納管，實現(xiàn)

BYOD可控；三是，建立終端基線，對于不符合基線要求的終端可修復。數(shù)據(jù)安全主要解決數(shù)據(jù)資產安全防護無法差異化，以及數(shù)據(jù)在使用、傳輸和存儲過程中意外泄露等問題。一是，通過數(shù)據(jù)分類規(guī)范化關聯(lián)關系，再通過數(shù)據(jù)分級實現(xiàn)數(shù)據(jù)防護策略的差異化；二是，通

過數(shù)據(jù)脫敏、加密、審計等技術手段降低數(shù)據(jù)泄露的可能性。應用工作負載安全主要解決兩類被訪問資源的安全問題，包括容器、虛擬機等基礎設施資源，以及應用系統(tǒng)、API等應用資源。一是，通過安全基線掃描、漏洞管理、入侵檢測等技術手段，輔以計算資源納管清單、供應商名錄等管理手段對基礎設施資源進行防護；二是，11零信任發(fā)展研究報告（2023年）在應用研發(fā)階段引入安全檢測流程、為已發(fā)布應用提供各類惡意攻擊防護手段，以及持續(xù)驗證應用執(zhí)行的動作是否符合其權限。安全管理主要解決各安全組件無法聯(lián)動處置威脅、流量不透明等問題。一是，通過編排將各安全工具的能力以某種邏輯組合在一起，聯(lián)動進行威脅的檢測與響應；二是，聯(lián)動各安全組件并以可視化形式展示監(jiān)測指標，以便快速定位威脅。表

2

零信任安全能力與子能力能力子能力能力描述對人、設備、應用、資源等所有對象賦予數(shù)字身份標識，并對數(shù)字身份信息和用戶憑據(jù)進行集中管理數(shù)字身份管理身份安全網絡安全提供統(tǒng)一集中認證、單點登錄、會話管理和訪問控制等能力訪問管理安全網關對

C/S

架構、B/S

架構等多種場景下的訪問接入進行認證，并基于信任評估和權限判定結果，對認證成功的訪問主體建立相應安全訪問通道通過

SSL（安全套接字層）、TLS（安全傳輸層協(xié)議）等方式實現(xiàn)網絡傳輸保密性保障數(shù)據(jù)中心、公有云、私有云等跨云環(huán)境中網絡傳輸安全應用工作負載安全

云工作負載安全

的工作負載安全，覆蓋物理機、虛擬機、容器、Serverless（無服務器）等不同粒度資源提供工作負載及應用間的流量隔離與可視化微隔離能力，實現(xiàn)細粒度安全策略管理提供應用系統(tǒng)、AP（I

應用程序接口）、SaaS（軟應用安全件即服務）等應用資源的安全防護能力，包括發(fā)現(xiàn)、修復應用安全漏洞等12零信任發(fā)展研究報告（2023年）數(shù)據(jù)安全基于合規(guī)要求與用戶業(yè)務場景，對數(shù)據(jù)進行分數(shù)據(jù)分類分級類分級管理數(shù)據(jù)防泄漏數(shù)據(jù)完整性數(shù)據(jù)加密檢測和防止?jié)撛诘臄?shù)據(jù)泄露能力指數(shù)據(jù)在其生命周期內的準確性和一致性提供數(shù)據(jù)在存儲、傳輸、使用時的加解密能力提供安全使用數(shù)據(jù)的空間的能力提供終端威脅檢測能力，包括漏洞掃描、病毒查殺、基線檢查等數(shù)據(jù)隔離終端安全終端安全管理終端應用安全移動化管理通過沙箱等技術實現(xiàn)終端

APP安全防護提供移動內容、移動設備、移動身份和移動應用安全防護能力獲取網絡、身份、設備、應用等的運行上下文，并建立用于策略評估的基線。運行上下文管理策略分析與建模安全事件分析通過規(guī)則、機器學習建模等方式，輸出智能化的控制策略。安全管理收集和分析網絡、環(huán)境、設備和應用等的安全事件，以支持威脅檢測、合規(guī)性和事件管理自動化編排與事

通過自動化編排等功能，對安全事件進行自動件響應

處置和響應來源：中國信通院2.

零信任能力供應不斷豐富國內零信任生態(tài)蓬勃發(fā)展，零信任供應能力不斷豐富，為用戶在不同場景、不同需求下零信任建設提供支撐。圍繞零信任能力六大方面，國內零信任產品供應呈如下特點：用戶訪問和工作負載訪問是產品發(fā)展的兩條關鍵路徑。用戶訪問需要對數(shù)據(jù)中心內外的南北向流量進行訪問控制，工作負載訪問需要對數(shù)據(jù)中心內部的東西向流量進行訪問控制，兩者安全防護位置不同，13零信任發(fā)展研究報告（2023年）逐漸形成不同零信任產品。在本報告的調查統(tǒng)計中，如圖

2所示，提供用戶訪問（南北向流量）安全防護能力的廠商仍占多數(shù)，有

89%的零信任供應側企業(yè)可提供

ZTNA（Zero

Trust

Network

Access，零信任網絡接入），對四層流量進行防護；在這些企業(yè)中，又有

84%的企業(yè)可提供

ZTAA（Zero

Trust

Application

Access，零信任應用接入），可對七層流量進行防護；提供工作負載訪問（東西向流量）安全防護能力的廠商較少，僅有

25%的企業(yè)可提供微隔離能力；但是這些企業(yè)中，又有

95%和

91%的企業(yè)支持以

ZTNA

和

ZTAA

形式提供南北向流量的安全防護。來源：中國信息通信研究院

2022年

12

月圖

2

我國零信任供應側發(fā)展路徑零信任

SaaS

在國內普及仍面臨企業(yè)上云比例低等諸多挑戰(zhàn)，但已有超七成零信任供應側企業(yè)具備相應服務能力。與本地化部署相比，SaaS化的零信任有四大優(yōu)勢：一是標準化交付，交付更加便捷，普及14零信任發(fā)展研究報告（2023年）性更強，適合中小型企業(yè)部署，降低用戶使用門檻；二是自身維護成本低，用戶無需部署、維護系統(tǒng)；三是可利用云網自身優(yōu)勢，提供安全以外的增值特性，如出海訪問加速等；四是連通性強，通過云的方式提供接入點，便于對云上業(yè)務進行訪問。然而，對于國內用戶而言，尤其是中小企業(yè)，安全需求的剛性尚且不足，“零信任”乃至“安全”都不一定構成“買點”，零信任

SaaS

的推廣更是面臨了諸多挑戰(zhàn)：一是國內大部分企業(yè)的業(yè)務部署在內網，云接入的優(yōu)勢變?yōu)榱觿?，用戶從POP點接入再訪問數(shù)據(jù)中心內部業(yè)務，存在流量繞圈問題；二是

SaaS化產品很難提供業(yè)務側的安全能力，SaaS

化產品雖然解決了云上業(yè)務的網絡接入便利性問題，在網絡方面提供了安全性，但實際上在安全攻防領域，安全威脅多發(fā)生在近業(yè)務側，SaaS

化產品鞭長莫及；三是無法定制化需求，企業(yè)內部業(yè)務環(huán)境存在差異性，而

SaaS

化產品提供的標準化產品，在功能適配上難以滿足用戶個性化需求，尤其在國內頭部企業(yè)的定制化需求較高。四是對云上數(shù)據(jù)安全性有顧慮，國內多數(shù)企業(yè)認為公有云上數(shù)據(jù)不受控難以開展安全保障。本報告對國內零信任供應側企業(yè)的

SaaS

化供應能力進行調查，結果如圖

3

所示，有

96.4%的零信任供應側企業(yè)支持本地化部署，有

71.4%的企業(yè)支持提供零信任

SaaS

服務，即便零信任

SaaS

在國內的普及面臨諸多挑戰(zhàn)，但國內零信任廠商已有超七成在

SaaS化上進行了投入。15零信任發(fā)展研究報告（2023年）來源：中國信息通信研究院

2022年

12

月圖

3

供應側

SaaS化情況本報告基于選定的六大安全能力，對國內云廠商和安全廠商供應的零信任解決方案展開調研。一方面，國內廠商注重零信任解決方案研發(fā)與落地實施，零信任生態(tài)已小有規(guī)模。目前，國內有近

50

家企業(yè)提供零信任集成產品。其中，安全廠商從自身安全專項產品優(yōu)勢出發(fā)，推出有技術側重的零信任解決方案。云廠商則利用自身基礎設施供應能力強且用戶體量大的優(yōu)勢，率先進入較全面的零信任解決方案市場。其中，如圖

4所示，身份和網絡環(huán)境安全能力供應能力更為成熟，70.8%的產品以身份安全作為核心能力，75%的產品以網絡環(huán)境安全作為核心能力，僅有

18.7%的產品以云工作負載安全作為核心能力

。另一方面，國內零信任賽道競爭激烈，各廠商都在不同領域尋求新的突破。一是在端上實現(xiàn)更多安全功能。越來越多的客戶希望通過一個客戶端解決

PC

終端安全的問題，端上安全檢測能力、防泄漏、漏洞修復等備受重視。二是在端上建立可信安全環(huán)境以保護數(shù)據(jù)安全。疫情之后，遠程辦公需求增多，移動終端上訪問企業(yè)業(yè)務數(shù)據(jù)成為剛16零信任發(fā)展研究報告（2023年）需，通過軟件定義邊界與終端沙箱相結合的方式，將零信任的能力延伸至端上成為一種新的解決方案。來源：中國信息通信研究院

2023年

7月圖

4

供應側零信任能力分布3.

持續(xù)提升產品聯(lián)動能力，向與現(xiàn)有架構融合前進零信任與企業(yè)已有的安全防護能力應該能相互融合，企業(yè)已有的安全工具不應因零信任的使用而失效，而應該得到能力的提升。零信任控制引擎為了更精準地下發(fā)策略，應與企業(yè)環(huán)境中的身份安全類、安全分析類、終端安全類產品進行聯(lián)動：來源：中國信息通信研究院

2022年

12

月圖

5

身份安全產品聯(lián)動情況17零信任發(fā)展研究報告（2023年）身份安全類包含身份管理與身份認證能力，一方面，零信任從身份源同步用戶身份，建立用戶身份與訪問過程中使用的設備、訪問的資源、訪問行為等之間的聯(lián)系，形成用戶畫像；另一方面，零信任可以將身份認證與多源評估結合實現(xiàn)動態(tài)地認證。本報告調研了零信任供應側企業(yè)的產品與用戶環(huán)境中的身份安全產品聯(lián)動能力，結果如圖5

所示。超七成零信任供應側企業(yè)支持與第三方身份安全產品對接。46.4%企業(yè)可提供自研身份安全產品，同時其零信任產品支持與第三方身份安全產品如竹云、派拉、亞信、芯盾、格爾等進行對接；有

21.4%企業(yè)不具備自研身份安全產品，但支持與第三方身份安全產品對接；有

25%企業(yè)僅支持客戶使用自家提供的身份安全產品，還有

7.1%企業(yè)無法與客戶環(huán)境中已有的身份安全產品進行聯(lián)動。在身份安全產品展開投入的零信任供應側企業(yè)占比超過

70%，反向說明同質化競爭激烈，并非每家都能將零信任領域做全，各家應避免同質化競爭建立技術壁壘以實現(xiàn)合作共贏。來源：中國信息通信研究院

2022年

12

月圖

6

安全管理產品聯(lián)動情況18零信任發(fā)展研究報告（2023年）安全管理類包含安全事件和信息的匯聚、實體行為分析、威脅檢測與響應等能力，一方面，通過與實體行為分析工具結合可獲取更多安全風險信息，對訪問主體的評估將更加準確；另一方面，零信任和威脅檢測與響應工具的結合為策略執(zhí)行提供了更豐富的管控手段。本報告調研了零信任供應側企業(yè)的產品與用戶環(huán)境中的安全分析產品聯(lián)動能力，結果如圖

6所示。超半數(shù)企業(yè)的零信任產品支持與客戶已有的安全運營中心、態(tài)勢感知、威脅情報等安全分析系統(tǒng)聯(lián)動，占

比53.6%，也有

35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進行聯(lián)動，有

10.7%的企業(yè)尚不支持與安全分析系統(tǒng)聯(lián)動。來源：中國信息通信研究院

2022年

12

月圖

7

終端安全產品聯(lián)動情況終端安全類包括終端安全檢測與修復、以及數(shù)據(jù)安全等能力，一方面，收集終端環(huán)境信息，并根據(jù)檢測結果對終端進行管控；另一方面

，通過技術手段實現(xiàn)數(shù)據(jù)不落地，以保護數(shù)據(jù)安全。本報告調研了零信任供應側企業(yè)的產品與用戶環(huán)境中的終端產品聯(lián)動能力，結果如19零信任發(fā)展研究報告（2023年）圖

7所示。零信任供應側企業(yè)在終端安全展開投入的較多，與自家產品聯(lián)動率更高。尤為明顯的是支持與自家終端安全產品聯(lián)動的企業(yè)占比

39.3%，這一數(shù)據(jù)在身份安全領域為

25%，一方面說明終端安全的重要性，供應側企業(yè)紛紛展開投入，另一方面說明與第三方終端安全產品的對接仍面臨接口協(xié)議無法統(tǒng)一的困境；支持自家與第三方如騰訊、北信源、安天、奇安信、深信服、啟明星辰、青藤等企業(yè)的終端安全產品進行對接的僅占比

32.1%；此外也有超七成零信任供應側企業(yè)支持提供終端安全產品，零信任供應側企業(yè)在終端安全的投入超過安全管理類產品與身份安全類產品，主要原因是身份認證與身份管理所使用協(xié)議具有國際、國家標準，然而終端安全領域存在標準協(xié)議缺口，有待通過生態(tài)間接口互認解決。（二）

行業(yè)應用不斷深化，零信任市場步入成長期1.

零信任在重點行業(yè)市場近三年呈持續(xù)增長態(tài)勢經過多年發(fā)展，零信任商業(yè)模式走向成熟，市場逐步規(guī)模化，已經在各個行業(yè)進入落地階段。據(jù)中國信通院調研顯示，電信行業(yè)和金融行業(yè)是被調研的

11

行業(yè)中探索零信任落地實施排名靠前的行業(yè)，其零信任實施應用相對成熟，且對其他行業(yè)的通用參考性較高。因此本報告選擇金融與電信行業(yè)的零信任市場情況進行分析，相信在未來，會有更多行業(yè)客戶選擇零信任作為其安全防護架構。金融與電信行業(yè)在近三年落地零信任的客戶逐年增長。本報告調研了

2019年至

2022年三年間，零信任供應側企業(yè)服務過的金融客戶數(shù)量區(qū)間，結果如圖

8

所示。一方面，在金融行業(yè)，2019-2020

年間20零信任發(fā)展研究報告（2023年）僅有

39.2%零信任供應側企業(yè)為金融客戶落地過零信任，這一數(shù)據(jù)在2020-2021年間與

2021-2022年間分別達到了

60.7%與

82.1%，越來越多的金融機構認可零信任架構所提供的安全防護能力。另一方面，在電信行業(yè)，2019-2020

年間僅有

32.1%零信任供應側企業(yè)為電信客戶落地過零信任，與金融行業(yè)相比低

7.1%，這一數(shù)據(jù)在

2020-2021年間與

2021-2022

年間分別為

67.9%與

85.7%，電信行業(yè)在近兩年落地勢頭較猛，超過金融行業(yè)。落地

10

家以內的零信任供應側企業(yè)占據(jù)主流，多數(shù)行業(yè)用戶仍處于應用研究探索階段。據(jù)調研，三年間落地用戶數(shù)量區(qū)間

1-10

的企業(yè)分別占比金融行業(yè)為

25%、35.7%和

50%，電信行業(yè)為

35%、42.8%和

50%。也有一些行業(yè)專精型的企業(yè)存在客戶量超過

200的情況，三年間在金融行業(yè)的占比分別為

3.5%、3.5%和

3.5%，電信行業(yè)占比分別為

0%、3.57%和

7.14%?？梢钥闯觯?020年零信任才開始在國內安全圈中得以普及，產品經過兩年的打磨，用戶對這個理念有了初步了解，開始積極的在此領域展開采購。來源：中國信息通信研究院

2022年

12

月圖

8

供應側企業(yè)落地零信任客戶數(shù)量區(qū)間21零信任發(fā)展研究報告（2023年）微隔離類產品應用情況呈兩極分化，與行業(yè)相關性較低。本報告調研了

2021-2022年間，提供微隔離類產品的零信任供應側企業(yè)所納管用戶的工作負載總數(shù)，結果如圖

9所示。在支持提供微隔離能力的企業(yè)中，金融行業(yè)納管工作負載總數(shù)低于

500

的占比

42.8%，高于10000的占比

42.8%，電信行業(yè)表現(xiàn)類似，納管工作負載總數(shù)低于

500的占比

62.5%，高于

10000

的占比

37.5%。將近半數(shù)供應側企業(yè)的微隔離在行業(yè)內僅開展試點工作或未曾開展，同時也有近半數(shù)企業(yè)在行業(yè)內進行了規(guī)?；穆涞貙嵺`。來源：中國信息通信研究院

2022年

12

月圖

9

微隔離類產品納管工作負載總數(shù)軟件定義邊界類產品應用潛力大，頭部客戶已進入探索階段。本報告調研了

2021-2022年間，提供軟件定義邊界類產品的零信任供應側企業(yè)所納管用戶的員工總數(shù)，結果如圖

10

所示。在金融與電信行業(yè)中，納管低于

5000人占比最高，分別為

52.2%和

61.9%，剩余半數(shù)涵蓋

5000-100000

不等，再結合對零信任落地客戶數(shù)量的統(tǒng)計結果，22零信任發(fā)展研究報告（2023年）即在

2021-2022

年間金融與電信行業(yè)均有

50%零信任供應側企業(yè)落地客戶數(shù)區(qū)間為

1-10

家，推算每個客戶使用基于軟件定義邊界納管員工數(shù)量低于

500人，甚至更低。500人已屬于中型企業(yè)，因此各行業(yè)內的中型企業(yè)應是落地軟件定義邊界類產品的中流砥柱。此外，在電信行業(yè)納管員工

20000

人以上的占比

33.3%，金融行業(yè)僅有

17.4%，電信行業(yè)在零信任領域的投入與落地勢頭相較金融行業(yè)略高一籌。來源：中國信息通信研究院

2022年

12

月圖

10

軟件定義邊界類產品納管員工總數(shù)2.

不同應用場景逐步實現(xiàn)零信任落地隨著零信任的不斷發(fā)展和成熟，企業(yè)用戶基于自身業(yè)務特性和安全需求，選擇在不同場景下落地實施零信任。將零信任應用于辦公環(huán)境是用戶主流選擇。本報告調研了零信任供應側企業(yè)服務的金融與電信行業(yè)客戶應用零信任時的環(huán)境選擇情況，如圖

11所示。金融行業(yè)

51%應用于辦公環(huán)境，18.7%應用于開發(fā)測試環(huán)境，僅有

11.8%應用于生產環(huán)境。電信行業(yè)

48.1%應用于辦公23零信任發(fā)展研究報告（2023年）環(huán)境，17.6%應用于生產環(huán)境，16.8%應用于開發(fā)測試環(huán)境。金融行業(yè)生產環(huán)境承擔了核心賬務系統(tǒng)的運營，數(shù)據(jù)資產安全穩(wěn)定性尤為重要，在生產環(huán)境的應用更顯謹慎。來源：中國信息通信研究院

2022年

12

月圖

11

零信任應用環(huán)境情況遠程辦公、遠程運維、多分支機構互連為用戶主要使用的場景，總占比超過半數(shù)。本報告調研了金融與電信用戶落地零信任時使用的場景，分布如圖

12

所示。一方面，遠程辦公場景是當前企業(yè)實施零信任的主要驅動和優(yōu)先選擇，在金融與電信行業(yè)占比分別達到

32.5%和

35%，其次是遠程運維和多分支互連，金融行業(yè)遠程運維場景占比14%，較多分支互連場景的

13.2%略多一些，電信行業(yè)遠程運維場景占比

10.5%，較多分支互連場景的

12.5%略少，電信行業(yè)在多分支互連的需求上較金融行業(yè)更高一些。另一方面，多云、混合云戰(zhàn)略是當前企業(yè)實施零信任最少場景，金融行業(yè)使用多云、混合云場景占比僅3%和

4.5%，電信行業(yè)分別為

3.6%和

4.7%，大多數(shù)企業(yè)不具備在云原生環(huán)境中的治理能力和安全能力可能是企業(yè)遲遲難以大規(guī)模上云的主要原因，零信任可以提供此場景下的安全訪問，未來多云、混合24零信任發(fā)展研究報告（2023年）云場景蘊含較多發(fā)展機會。來源：中國信息通信研究院

2022年

12

月圖

12

落地零信任使用場景情況三、產業(yè)應用側調研洞察：用戶對零信任建設尚存顧慮，同時肯定零信任核心價值零信任應用側方面，通過對重點行業(yè)的客戶調研與訪談，本報告總結了在安全防護架構建設的各個時期，企業(yè)管理人員的建設痛點以及考慮，幫助零信任供應側廠商了解用戶側的實際訴求。（一）

零信任從零到一，落地部署面臨多重阻礙零信任的概念產品居多，投入產出比是企業(yè)核心考量點。金融、制造等行業(yè)屬于嚴謹型行業(yè)，對新概念產品的引入非常謹慎，為提升企業(yè)效益，企業(yè)在落地零信任時通常會有多重考量。一方面，利舊以節(jié)約建設成本。零信任概念興起之前，企業(yè)在當前安全防護架構中已經購買并部署了身份、終端和網絡等安全領域的相關產品，因此零信25零信任發(fā)展研究報告（2023年）任的建設需要考慮如何與企業(yè)已有系統(tǒng)或產品兼容，實現(xiàn)安全聯(lián)動的同時降低開銷。另一方面，實際成效是否可量化。一個新的安全領域概念誕生后，通常會伴隨著三個經典問題，零信任也不例外：一是，零信任的產出到底是什么。二是，零信任做與不做的區(qū)別是什么。三是，零信任簡單做和復雜做的區(qū)別又是什么?？闪炕牧阈湃畏雷o效果更具有事實意義，勝于萬千落于紙面的優(yōu)勢與意義。零信任部署跨企業(yè)多部門，明確責任邊界是建設第一步。零信任作為安全理念，其落地將涉及身份、終端、網絡等多安全領域，在傳統(tǒng)安全防護建設模式下，企業(yè)在上述領域內各有獨立部門負責安全建設并承擔安全事件責任。然而，基于零信任理念的安全防護建設模式需要多領域聯(lián)結共同完成威脅防御和響應，出現(xiàn)安全事件無法落實責任至單領域部門。即便企業(yè)在部署零信任之初成立一個總體部門負責推進零信任建設事項，但由于零信任涵蓋領域之廣會使得該部門責任無限大，因此其不敢包攬全部建設后的安全責任，故此企業(yè)在部署零信任之前需明確責任劃分，否則難以協(xié)同多部門推進落地。基于零信任的統(tǒng)一身份管理體系在接管組織內老舊系統(tǒng)時面臨雙重阻礙。組織內的老舊系統(tǒng)自身通常具備身份認證體系，然而此類系統(tǒng)安全合規(guī)性差，如接口和用戶身份信息均未經加密，極易引發(fā)安全問題。組織若想落地零信任，需要梳理清楚組織內的身份體系，過程中面臨兩方面困難。一是技術層面。組織內使用的老舊系統(tǒng)復雜多樣，PMS、OA、CRM和

HR等系統(tǒng)來自不同供應商，使用的

SaaS服務受

license

限制無法改造，即便是自研系統(tǒng)也會受到沒有統(tǒng)一標準26零信任發(fā)展研究報告（2023年）的影響，身份權限規(guī)則不一致，不同系統(tǒng)中人員權限不一致，統(tǒng)一身份體系難以接管。二是規(guī)劃設計層面。身份作為敏感信息，受體制規(guī)則和組織職能等因素限制，在垂直領域難以打通，因此需要從頂層設計角度出發(fā)，解決身份在行政級別線條與業(yè)務級別線條的連貫性。企業(yè)內驅力不足，落地方案難推動。業(yè)內一句較為經典的話“沒有生產標準化零信任產品的廠商，只有完成零信任建設的企業(yè)”值得深思，其含義是指沒有一家應用側企業(yè)所建設的零信任是相同的，企業(yè)需要結合自身需求部署零信任，其所需要的是一系列理論、規(guī)劃、架構以及產品交付，單靠供應側廠商無法實現(xiàn)，需要依靠企業(yè)強大內驅推動。一是需要數(shù)字化轉型中的企業(yè)在網絡安全建設主動求變。據(jù)公開數(shù)據(jù)整理統(tǒng)計，92%的管理者認為由企業(yè)內部需求驅動向零信任落地效果往往高于政策性驅動的落地效果，因此主動求變才能以更積極的心態(tài)面臨變化。二是零信任的建設不會一蹴而就，需要接受挑戰(zhàn)與成效并存。零信任的落地是一個漫長過程，企業(yè)需要全方面梳理自身脈絡，梳理的越清晰，效果會越好。三是需要企業(yè)長時間的支持。企業(yè)人員的安全認知和配合是關鍵因素，尤其是領導層面是否意識到，當前企業(yè)面臨的安全威脅已經發(fā)生變化，以及領導推動零信任的決心是否堅定。（二）

微隔離市場向好，用戶看重網絡分段能力企業(yè)購入微隔離本質是對核心功能的考慮，更理性看待零信任。企業(yè)上云前，通過物理防火墻劃分物理分區(qū)，實現(xiàn)物理分區(qū)間的訪問控制。企業(yè)上云后，由于云資源的分布式特性，其無法按物理資源進27零信任發(fā)展研究報告（2023年）行分區(qū)，若仍使用物理防火墻進行訪問控制，流量需要繞行物理防火墻，因此物理防火墻在云環(huán)境中并不適用。此外，安全組策略可以解決如物理機和虛擬機這類工作負載的訪問控制問題，但無法解決容器的訪問控制，因此需要一種技術將訪問控制規(guī)則下發(fā)至工作負載上，實現(xiàn)工作負載粒度的訪問控制，這正是微隔離的核心功能。通過位置、環(huán)境和應用三維標簽，配合云管平臺，在業(yè)務人員申請?zhí)摂M機或容器時，為工作負載打上唯一身份標識，并由應用系統(tǒng)管理員配置訪問策略，實現(xiàn)服務間的權限最小化。企業(yè)初始采購微隔離看重其宏觀網絡微觀化能力，零信任概念的火熱并未成為當時企業(yè)購買微隔離的買點。微隔離人力成本耗費隨使用時間增長持續(xù)下降。微隔離應用初期，初始理解與策略配置難度較大，由于傳統(tǒng)邊界防火墻僅管理分區(qū)間流量，區(qū)域間流量簡單清晰，管理較為簡易。而部署微隔離后，微隔離對業(yè)務涉及所有工作負載進行隔離與控制，需要在工作負載中安裝代理，因此要求建設團隊對云平臺上所有業(yè)務都非常清晰，代理識別到的分區(qū)內流量多且復雜，梳理難度較大，因此初期人力管理成本較高。微隔離應用后期，隨著使用時長的增長，應用系統(tǒng)內工作負載使用的標簽以及安全隔離策略相對固定，標簽配合工作負載的變化而變化，微隔離的自適應特性也能更好地將安全策略與標簽匹配，實現(xiàn)安全策略與業(yè)務系統(tǒng)本身的變化聯(lián)動，完成無人值守處置，人力成本大幅下降。（三）

應用價值受肯定，仍需避免重建設輕運營零信任價值得到企業(yè)肯定。經過對部分政府機構走訪調研，結果28零信任發(fā)展研究報告（2023年）顯示地方政府在開展信息化建設后，需要對企業(yè)自身員工身份、供應鏈上下游合作伙伴身份和地方政府員工身份的總集以及代碼開放權限進行管理，零信任的應用可簡化管理難度。一是降低代碼流失率，由于參與代碼開發(fā)人員構成復雜，員工安全意識參差不齊，曾出現(xiàn)誤將內部代碼作為開源代碼貢獻至開源網站，通過對敏感人員行為的實時監(jiān)測，降低內部代碼流出的可能性；二是資產管理精確到人，為設備分配唯一標識，并與身份信息綁定，實時監(jiān)測設備安全狀態(tài)，落實安全責任至個人；三是個人效能監(jiān)測，通過零信任對終端的實時監(jiān)測能力，收集員工開機、關機和提交代碼等關鍵節(jié)點時間信息，對員工工作效率進行監(jiān)測。零信任高質量運營能力有待提升，需聚焦精細化安全策略的實施。大部分落地零信任的企業(yè)都需要長期使用基于零信任和基于邊界的混合安全防護架構，高質量的運營主要體現(xiàn)在策略的打通與高效使用。一方面，高質量運營需解決網絡層和應用層管控策略的沖突。零信任聚焦對訪問的過程進行動態(tài)訪問控制，零信任安全架構運營者應統(tǒng)一調整應用