零信任Zero Trust：从开局到落地的发展进程

（图片来自知乎）

近年来，零信任理念在不断发展、快速演变中，零信任可以减少数据泄露、拒绝未授权的访问，因此在数据安全方面价值巨大。零信任应用场景不仅仅是远程办公，SaaS运营安全、大数据中心、云安全平台等都是典型的应用场景……一时间，各路英雄齐聚零信任江湖，争相探索破局之路。

万物互联时代，零信任的流行很大程度上源于网络边界泛化带来的安全风险。其“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型，能够有效帮助企业在数字化转型中解决曾经难以解决的难题，也因此受到市场追捧。

从国外市场来看，在零信任市场“跑马圈地”的路径主要分为三类。谷歌是最早投入零信任安全架构研发与实践的公司，整整花了6年时间才在企业网实现了零信任落地。业内专家指出，谷歌走的是一条典型的自用转外销的道路，通过内部项目孵化实现技术溢出价值。微软、阿卡迈（Akamai）等巨头也走的是同一条路。思科、派拓网络、赛门铁克（Symantec）、优利系统（Unisys）等公司则是采用收购方式快速在零信任市场占领高地。此外，还有一批独角兽企业值得关注，如Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。它们以技术先进性“出圈”，颇受资本青睐，成长潜力惊人。

业界普遍认为，Forrester提出的零信任是近十年来最重要的安全创新理念。零信任的重要性被充分认知之后，Gartner提出了SASE（安全访问服务边缘）模型，而紧接着Forrester提出ZTE（零信任边缘）模型。这两个模型被认为是从边缘侧实现零信任的有效途径，在业内掀起热烈讨论。相较而言，SASE强调网络和安全紧耦合，所以要求单一提供商提供全套SASE产品；ZTE强调网络和安全解耦，认为可以多个供应商集成。实施路线方面，SASE强调网络和安全同步走；ZTE强调零信任先行，网络重构滞后。

有观点认为，Forrester的边缘安全推进策略，显得相当务实，也更加重视零信任。相比之下，Gartner的边缘安全推进策略，就太理想化了。但也有观点认为，无论是SASE还是ZTE，最终目的“殊途同归”，实现边缘数据安全将成为零信任相关产品的主要落地方向。

自零信任大火以来，关于其是否会取代传统虚拟专用网络（VPN）成为网络安全未来的讨论声从未停歇。VPN指的是一种在公共网络上建立专用数据通道的技术，在企业网络中有广泛应用。它通过对数据包的加密和数据包目标地址的转换实现远程访问，可以简单理解成是虚拟出来的企业内部专线。相较而言，VPN侧重于解决不可信链路上的安全通信问题，而零信任架构在确保链路安全可信之余，核心解决端到端的安全防护、访问控制权限等问题。

“现阶段零信任和传统VPN并存，主要受限于机构进行零信任改造、升级的速度。”腾讯企业 IT 安全架构师蔡东赟指出，“从长远来看，零信任解决方案将会替代传统VPN的全部功能和适用场景，而部分传统VPN产品可能会根据零信任理念扩展升级成为零信任的核心组件。”根据Gartner预测，到2023年将有60%的VPN被零信任取代。

参考文章：https://mp.weixin.qq.com/s/vsB2LbrybkqpuSGRBJ-4lg

零信任建立的是以身份为中心，以识别、持续认证、动态访问控制、授权、审计以及监测为链条，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。它的核心目标就是解决边界问题带来的安全风险。

欢迎关注下方知道创宇云防御，我们将为用户提供更便捷、更安全、更有价值的零信任安全方案和产品，助力客户网络安全体系向零信任架构迁移，帮助用户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。