零信任，作為近年來網絡安全領域最為火熱的技術之一，它的存在為組織網絡架構和安全建設提供了新的思路和方向，“持續驗證、永不信任”的零信任正在成為開拓新一代組織網絡安全建設的核心。不少甲方企業在使用過零信任之后，對于零信任技術解決當下企業安全中的如身份權限管理混亂、終端安全及安全運營等主要問題表達了充分的認可。然而，也有不少企業表示，中國零信任市場混亂，產品標準不一，質量參差不齊，不少廠商掛羊頭賣狗肉；在使用體驗方面，有些企業認為零信任相較于過去的安全架構有些過度防御，更有甚者甚至提出了零信任已死這駭人聽聞的觀點。

當下的零信任正在飽受爭議，市場評價兩極分化，質疑聲不斷。零信任產品如何選擇？甲方企業在應用零信任的時候要注意哪些？中國零信任產業當下處于何種狀態？帶著這些疑問，安在采訪了身處零信任產業的幾位專家，以他們的親身經歷來尋找答案。

一、運營是實現零信任架構的核心

零信任不是一個黑盒子，或者是單獨的一套解決方案，而是一個概念。企業落地零信任不要期望一蹴而就，而是要做好長期運營的準備。“零信任架構與其他安全架構的最大區別是強調運營的重要性。”樂信集團信息安全中心總監劉志誠在采訪中說道。

據他介紹，樂信集團在2020年開始嘗試落地零信任，當時，樂信在無線網絡管控方面發現了問題。樂信在PC設備上的準入策略主要集中于內網，在無線網絡方面未能部署相關策略，這導致無線網絡成為威脅企業安全的主要漏洞。發現這個問題后，劉志誠開始尋求能夠進一步管控設備和賬號的解決方案。

另一方面，作為互聯網企業，樂信的主要業務是ToC的，對外開放的。但是在運營的過程中，ToC的管控手段不能和業務一樣對外開放，這就需要將運營系統內網化。在這個場景下，企業的運營系統需要驗證網絡、終端、策略等等，這種驗證模式和零信任架構的管控模式高度相似，同時基于零信任對身份和賬號具有細粒度的管控能力，劉志誠決定在這兩個場景下嘗試落地零信任架構。

在進一步的實踐和探索中，樂信集團認可了零信任架構，并將自身安全體系進行了全面的升級。目前，樂信集團的整個信息安全體系均已采用零信任的架構。在總部及各分支機構的網絡架構中，樂信采用了內外網隔離，任何對象在發起訪問時都要經過終端安全策略的管控、驗證以及對賬號的管控。在資源訪問方面，樂信采用了基于零信任架構的動態資源訪問策略，無論是在遠程辦公場景、內網辦公場景、移動辦公場景還是在分支機構都實施了一致的安全策略。

當然，落地零信任勢必會將固有的網絡安全架構進行迭代和升級，但這種升級不是完全的對立，而是要長期保持以零信任和基于邊界的混合模式運營。劉志誠表示，零信任目前更多聚焦于應用層的安全管控，那么就要調整過去在網絡層面的管控策略。

“零信任使用體驗不佳的根源是網絡層和應用層管控策略的沖突。”劉志誠表示，在應用零信任架構后，組織如果未及時對網絡層的管控進行調整，就會導致員工在使用的過程中先經過網絡層驗證，又經過應用層驗證。這種層層驗證帶來的不良體驗感不是零信任產品、解決方案及廠商造成的，而是組織運營團隊帶來的問題。

然而，調整網絡層策略并不是完全舍棄內網管控，無論是過去還是現在，基于邊界的防護理念始終保持著防護效果，存在即合理，不要因為上了零信任而將邊界防護體系完全拋棄，反而要常態化保持零信任和邊界防御兼具的安全架構。

因此，在層層驗證方面，劉志誠建議可以采用直連網關的概念，通過復用網絡準入層的安全策略來解決這個問題，換言之就是在兼容傳統網絡邊界安全管控的前提下落實零信任管控策略。

從上述可以看出，組織落地零信任不能完全依靠廠商，而是需要將精細化管控，同時，零信任架構也會進一步細化企業的安全管理。據劉志誠介紹，自應用零信任架構后，安全部門對于企業整體安全狀況的管控能力大大加強，管控的細粒度也得到了增長。

過去基于邊界的防護模式會對內網默認信任，而這種信任在當下面對橫向移動等內部攻擊手段面前是具備非常大的風險，在加入零信任后，就可以內部訪問管理加上安全控制的節點，通過這種控制策略可以實現資源、用戶、設備三元關系的確認。通過這三元驗證機制可以保障組織在網絡層、應用層的安全，從安全管控的視角來看，這是一個較為理想的方案。

劉志誠再一次強調，零信任不是一蹴而就的，而是需要常態化運營來最大實現零信任策略的價值。零信任不是建設之后就結束了，它是基于動態策略之上的，建立策略、優化策略、調整策略的核心就是運營。只做建設不做運營，零信任就會變得形同虛設，整體使用體驗也就無從談起。

二、零信任還需要更進一步

關于零信任的體驗感，零信任產業的另一端也發表了看法。易安聯案營銷總監張曉東表示，由于零信任是從過去靜態的、基于網絡邊界轉移到動態的，關注用戶、資產和資源的主動防御模式。訪問控制是零信任架構實現的關鍵，這導致上到公司老板，下到前臺行政，每一位員工都成為了組織安全的參與者。

另外，零信任有時也在替其他安全產品背鍋。張曉東舉例道，有的企業會將零信任與現有的數據源的接口、短信驗證碼接口以及應用門戶等等第三方產品相結合，當第三方產品出現問題時，企業很可能將問題歸咎于零信任。對此，張曉東建議到，在落地零信任解決方案時，需要增加一個全面的監控，對零信任及第三方進行狀態檢測，并進行全景化視圖。當客戶出現問題時，可以快速定位和分析故障來源，確保零信任解決方案的正常運轉。

除此之外，碎片化的市場也是讓用戶質疑零信任的主要原因。據中國信通院《零信任發展洞察報告（2022年）》統計，當前中國的零信任市場是以問題為導向的，網絡攻擊不是全盤攻擊，攻擊者往往只需要突破一個點，就能夠達成攻擊結果。因此，基于零信任展開的安全防護不再像過去擁有一套完備的頂層架構，而是針對包括網絡環境安全、終端安全、應用安全和負載、數據安全及安全管理等各個問題進行延伸。這導致整個零信任市場非常分散，競爭壓力較大。

“很多廠商做零信任都是在過去擅長的領域延伸，過去做網關的廠商，其零信任產品在網關方面比較強，同理，過去做終端的廠商其零信任產品在終端方面比較強。”張曉東表示，在這種情況下，單獨的廠商是無法支撐一個涉及終端、網絡、應用、數據、身份等多個環節的全面的零信任體系。大多數廠商在落地零信任時，都會偏向從擅長的環節開始建設，其他環節雖然能夠提供，但最終呈現的效果往往不盡人意，從而使用戶認為零信任市場名不符實，空中樓閣。

換言之，零信任缺乏進一步的標準。張曉東認為，當下無論是國家針對零信任提出的標準，還是其他行業或安全廠商牽頭提出的標準，它都是從零信任本身的安全能力維度去制定的，較為通用，但無法體現價值。他認為，當下零信任缺少的是在特定應用場景中或是特定行業領域中的零信任落地標準。當存在這種標準時，用戶才能擁有一個可參考的范本，才能對零信任樹立信心，并對廠商提出更高的要求。

劉志誠表示，單靠標準也不能完全推動零信任產業發展，因為很少有標準能夠放之四海而皆準的。因此，樂信集團在建設零信任的過程中，對其供應商提出了很多修改意見，通過不斷地磨合和整改，最終實現了整體的零信任架構。他表示，業界對于零信任理念是一致的，但在產品實現和落地方面，往往會因為設計或具體場景的不同產生偏差，這就需要通過運營來使供應商的零信任進一步貼合企業的需求。

除此之外，零信任還需要發展的時間。作為一種概念和思想，零信任的起源其實很早。早在2004年，零信任概念就在耶利哥論壇上提出，當時該論壇成立的目的是定義無邊界趨勢下的網絡安全問題并尋求解決方案。2010年，Forrester的分析師約翰·金德維格首次提出了零信任安全的概念，其核心思想是企業不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入企業系統的人/事/物進行驗證。此后，在谷歌的實踐和推廣下，零信任開始全面在市場普及。

國內零信任產業起步雖然較晚，但發展速度很快。2017年，Gartner在安全與風險管理峰會上發布CARTA模型（持續自適應風險與信任評估）并提出零信任是實現CARTA宏圖的初始步驟。與此同時，國內不少安全廠商注意到了這一點，很多廠商將零信任視為新的增長點，將零信任概念納入到傳統安全產品中。2020年，美國國家標準與技術研究院NIST發布《零信任架構標準》正式版。同年，國內零信任開始迅猛增長。2019RSA大會上，零信任廠商僅有39家，到了2020年，RSA大會上的零信任廠商多達91家，僅僅一年時間，零信任行業的發展速度就增加了133%。

“零信任的步子邁的太快了”某金融科技信息安全專家蔚晨在采訪中提到。他認為，零信任發展的時間太短，步伐太快，使整個產業過于浮躁。當下愈發激烈的網絡安全環境逼迫著企業尋求零信任這種更細粒度的安全策略，同時，廠商為了尋求新的增長點，開始朝著零信任布局。看似一拍即合的雙方，卻因為對零信任的認知不同以及過度碎片化的市場導致質疑聲不斷。

除此之外，近年來推出的AI安全、算法安全乃至機器語言安全都表明了信息安全一直在外延和擴展。如此廣泛的領域讓很多大的概念在提出時沒有一個確切的落腳點，零信任就是一個大的概念。蔚晨表示，零信任現在就處于盲人摸象的階段，每一個參與者都在憑借自己的認知和經驗來定義零信任，因此，零信任想要成熟還需要一個大浪淘沙的過程，這也是每一個安全技術發展的必經之路。

三、零信任已死？

從當前階段看來，零信任已死這句話有些夸張。據Gartner預測，中國的零信任市場成熟度即將迎來攀升期。對此張曉東表示，此前的疫情對甲方和乙方都有很大的影響，各個行業的預算都有一定的削減，同時，零信任產品的迭代和規劃也不得不放緩。但現在，疫情已經消散，市場正在逐步的復蘇，無論是甲方還是乙方都能夠進行面對面的溝通和交流，同時，很多擱置的項目也會再一次啟動，整個零信任產業也必將迎來新一輪的發展。

但是，趨勢不代表現實，零信任目前缺乏標準，也缺乏實踐，想要脫離空中樓閣，那么就必須要先打好地基。什么是地基？張曉東認為零信任的地基來自于廠商將零信任真正的安全價值發揮出來。“不要讓零信任的領先性只局限于理念。”他表示，現在需要有大量的從業者花費大量的精力去企業中，認真發掘零信任產品和架構在落地時有哪些問題。只有當所有廠商都在為這一件事情努力時，才能讓零信任在更多的行業和場景落地，才能實現真正的價值。

劉志誠表示，零信任需要進一步的開放和兼容，將其從緊耦合的狀態拆解成一個個原子能力，形成類似于云原生的微服務解決方案。企業通過與供應商的磨合，將零信任的一個個原子能力適配到各個場景的具體需求，并通過精細化的運營來使其完全發揮出價值。“對于企業來說，通過運營來實現零信任才是一個較為理想的結構。”

蔚晨表示，零信任產業的發展也不能單單依靠廠商，而是產業上的每一環節的每一個參與者一起努力，共同挖掘和實現零信任的價值。“零信任需要的是腳踏實地的實踐者，而不是站在山頭上喊口號。”

回過頭來看，2023年或許是零信任產業發展的轉折點，在越來越多的實踐案例促進下，零信任產業或許能夠在每一位參與者勵精圖治中，讓輿論調頭，讓價值提升。

來源：安在