2020中國零信任全景圖

12月4日-6日，上海

2020CSA大中華區大會成功舉辦

雲安全聯盟大中華區領銜

聯合騰訊安全、奇安信、天融信發布

《2020中國零信任全景圖》

↓

聯盟從甲方視角針對國內零信任廠商、優秀的零信任實踐甲方及第三方等共計60多個樣本單位進行了問卷調查和訪談，基於這些數據編製成第一版零信任全景圖，並將每年持續更新。

【以下為圖譜詳細分類】

01按保護對象分類

相關的代表廠商

↓

02按業務場景分類

相關代表廠商

↓

03按業務類型分類

相關代表廠商

↓

04按零信任涉及的技術分類

相關的代表廠商

↓

05按服務模式分類

相關的代表廠商

↓

06按部署架構分類

相關的代表廠商

↓

根據Gartner發布的2020雲安全技術成熟度曲線顯示，零信任正在跨過低谷，將進入市場成熟期並快速發展。

再看中國市場，在本次收集的樣本數據中，有超過90%的企業都認為零信任是一個億級的市場，將近50%的企業認為至少是百億級市場。

從客戶行業分布來看，目前國內零信任的目標客戶主要集中在政企、金融、能源、網際網路、運營商、教育、醫療、電力、交通、公安、製造業、軍工、民航、軍隊、零售等行業。

07附錄：綜合案例學習

為了讓讀者對零信任的應用有一個更直觀的了解，我們特徵集了部分已經落地的案例和解決方案供學習。

01.騰訊零信任方案

方案介紹：

騰訊安全依託於騰訊多年內網安全管理的經驗以及業界的最佳實踐，利用終端安全評估和管控、統一身份管理和授權、零信任網關以及動態授權評估等組件，構建了騰訊的零信任安全解決方案。無論是遠程辦公，遠程運維，全球業務加速還是多雲接入的場景都可以獲得快捷安全的接入體驗。方案的架構如圖：

圖11 騰訊零信任方案架構圖

該方案包含的關鍵內容如下：

動態可信評估：在傳統的身份認證基礎上，集成了動態令牌、生物特徵等多因素認證機制，杜絕身份盜用和偽造問題。同時，策略分析引擎實時分析終端狀況和用戶行為，對可疑行為進行二次認證或阻斷，確保訪問合法可靠。無客戶端/輕客戶端接入：為了便於客戶、第三方合作夥伴接入，零信任網關支持B/S模式接入，用戶可通過標準瀏覽器或企業微信等多種方式接入並訪問企業應用。終端安全保護：終端防護平臺採用模塊化架構，根據用戶的部署場景靈活拓展安全或管理功能，包括：終端加固與合規檢測、防病毒、EDR、入侵檢測、終端外設管控、文件審計、數據防洩漏等。一鍵快速部署：騰訊零信任安全解決方案為客戶提供多種部署模式，支持SaaS化模式及私有化模式，SaaS模式下支持多租戶共享及資源獨享兩種模式，可一鍵部署及開通服務。方案價值：

騰訊零信任安全解決方案可以幫助數位化轉型企業應對用戶接入面臨的安全挑戰，保護企業內的業務和數據的訪問，確保用戶身份安全，設備安全和應用安全，建立可信的訪問鏈 ，持續評估訪用戶請求並授予最小授權，大幅降低攻擊面並提升安全管理效能。

02.天融信--某集團多級分支機構零信任解決方案

項目背景：

隨著企業擁抱雲計算、移動網際網路、IoT等新興技術，企業的數據和應用都不再局限在內網，因此傳統基於防火牆的物理邊界防禦已經無法適應需求，取而代之是軟體定義邊界，即SDP。主張網絡隱身、零信任、最小授權，是更適用於雲和移動時代的企業安全架構。

適用場景：總部及各分公司人員多，層級複雜，身份繁雜且應用權限眾多，需要加強業務系統的保密性，隱藏業務系統，減少公司業務系統的暴露面。需要對接入業務系統的人員做身份預認證，訪問預授權，不同身份的人員給予不同的訪問權限，對應用級的訪問進行準入控制。

方案介紹：

技術方案SDP技術方案包含SDP客戶端、SDP控制器和SDP網關三個部分。方案架構如圖12所示：

圖12 天融信SDP技術架構圖

SDP 客戶端：向SDP控制器提交認證信息進行身份認證。SDP控制器：是一個管理控制臺，用來對所有的SDP 客戶端進行管理，制定安全策略。SDP網關：所有對業務系統的訪問都是要經過SDP網關的驗證和過濾。為了強化用戶認證與權限管理部分，可提供增強組件IAM實現更細緻的 身份管控功能。

部署方案

在集團總部部署SDP控制器。總部和各級人員通過SDP客戶端訪問業務系統之前，會向SDP控制器發起認證和權限請求。對接集團總部的IAM系統，用於實現身份認證和權限管控。在總部、各級分支業務中心分別部署的SDP網關。當用戶發起訪問請求時，SDP控制器聯動驗證用戶的身份和權限。確認訪問用戶的身份和訪問權限後，SDP控制器會授權訪問用戶及可訪問的SDP網關，允許訪問用戶訪問相應的業務系統。

圖13 天融信SDP部署架構圖

方案價值：天融信零信任體系SDP解決方案可以幫助集團用戶建立三級體系的安全訪問體系，實現業務安全訪問需求，整個方案通過預授權提前劃分好業務訪問的細粒度權限，區分客戶端所能訪問的網關和應用，避免業務直接暴露在網際網路，也避免黑客提前知道網關入口，進行嗅探和嘗試。

03.奇安信零信任身份安全解決方案

方案介紹：雲計算和大數據時代，信息技術得到了快速發展，但同時也給信息安全帶來了新挑戰：企業內部外部威脅愈演愈烈，導致傳統的邊界安全架構正在失效。

奇安信零信任身份安全解決方案，通過以身份為基石、業務安全訪問、持續信任評估和動態訪問控制這四大關鍵能力，應用身份管理與訪問控制、訪問代理、埠隱藏等技術，基於對網絡所有參與實體的數字身份，對默認不可信的所有訪問請求進行加密、認證和強制授權，匯聚關聯各種數據源進行持續信任評估，並根據信任的程度動態對權限進行調整，最終在訪問主體和訪問客體之間建立一種動態的信任關係。方案的架構如圖14所示：

圖14 奇安信零信任方案架構圖

方案價值：奇安信零信任身份安全解決方案，通過全面化的身份認證能力、動態化的用戶授權、傳輸數據的加密與攻擊防護能力，智能化的訪問行為數據分析能力，全方位、全時地保障企業數據訪問的安全性；

以自動化的方式實現統一的身份管理、用戶認證與授權能力，減少了企業IT人員工作量及人為出錯機率，大大降低了安全運維成本；

同時解決方案為用戶提供了可隨時隨地訪問業務數據能力，同時通過終端環境自動感知、一站式門戶訪問、單點登錄，減少用戶訪問認證的繁瑣操作，實現無縫式的訪問體驗，有效提高用戶工作效率，有效提升了體驗與安全的平衡。

適用場景：目前，解決方案覆蓋了政企行業用戶的典型應用場景，如遠程訪問場景、數據交換場景和服務網格場景等；在大型部委、金融、央企等頭部行業，奇安信零信任身份安全解決方案已經全面落地。

特大牛，IT B2B資源對接平臺