2023年零信任发展研究报告.pdf
《2023年零信任发展研究报告.pdf》由会员分享,可在线阅读,更多相关《2023年零信任发展研究报告.pdf(37页珍藏版)》请在咨信网上搜索。
1、 零信任零信任发展发展研究研究报告报告(2023 年年)中国信息通信研究院云计算与大数据研究所 2023 年 8 月 前前 言言 近年来,云计算、大数据等新一代信息技术与实体经济加速融合,产业数字化转型迎来发展新浪潮。企业 IT 架构从建设到运营发生极大变革,防护机制从以网络边界为核心向以身份为核心的零信任转变,零信任产业已形成蓬勃发展的良好态势,愈发得到行业关注。中国信通院持续跟踪零信任发展历程,曾在 2020 年 8 月、2021年 5 月发布 网络安全先进技术与应用发展系列报告零信任技术(Zero Trust)1、数字化时代零信任安全蓝皮报告2等研究报告,对零信任基本原则、逻辑架构组成、
2、通用应用场景等进行了阐述。2023年发布零信任发展研究报告,报告聚焦过去两年多零信任产业的新发展新变化。报告首先介绍了数字化转型深化后企业 IT 架构所面临的安全挑战,零信任如何解决安全挑战以及如何应对新的安全威胁。其次从零信任供应侧和零信任应用侧两大视角对我国零信任产业的发展情况与应用痛点进行观察和分析。在零信任供应侧方面,梳理了国内各零信任厂商安全水平概况,分析了重点行业零信任市场近三年发展态势。在零信任应用侧方面,基于对重点行业用户的调研结果,从零信任建设前期、建设中期和使用运营期,分析了用户零信任建设过程中的痛点、肯定与思考,为零信任供应侧提升和优化能力提供指引,同时增强应用侧用户的落
3、地信心。最后总结了零信任技术发展趋势,并对零信任产业发展提出建议。1 http:/ 2 http:/ 目目 录录 一、零信任保障资源可信访问,应用价值日益凸显.1(一)零信任弥补传统安全防护机制缺陷.1(二)零信任为新的安全场景提供有力保障.4(三)零信任相关政策与标准涌现,驱动产业规范发展.7 二、产业供应侧调研洞察:零信任能力生态逐渐成熟.10(一)围绕六大领域能力,建立产品体系.10(二)行业应用不断深化,零信任市场步入成长期.20 三、产业应用侧调研洞察:用户对零信任建设尚存顾虑,同时肯定零信任核心价值 25(一)零信任从零到一,落地部署面临多重阻碍.25(二)微隔离市场向好,用户看重
4、网络分段能力.27(三)应用价值受肯定,仍需避免重建设轻运营.28 四、我国零信任发展趋势及建议.30(一)零信任技术发展呈三点趋势.30(二)零信任产业发展的四点建议.32 图图 目目 录录 图 1 基于零信任理念的逻辑架构.1 图 2 我国零信任供应侧发展路径.14 图 3 供应侧 SaaS 化情况.16 图 4 供应侧零信任能力分布.17 图 5 身份安全产品联动情况.17 图 6 安全管理产品联动情况.18 图 7 终端安全产品联动情况.19 图 8 供应侧企业落地零信任客户数量区间.21 图 9 微隔离类产品纳管工作负载总数.22 图 10 软件定义边界类产品纳管员工总数.23 图
5、11 零信任应用环境情况.24 图 12 落地零信任使用场景情况.25 图 13 统一整个基础设施的策略管理.31 图 14 身份信息穿透业务访问全程.32 表表 目目 录录 表 1 国外零信任相关政策.7 表 2 零信任安全能力与子能力.12 零信任发展研究报告(2023 年)1 一、零信任保障资源可信访问,应用价值日益凸显 零信任秉持“永不信任,持续验证”的理念受到业内广泛关注,其打破了网络位置和信任间的潜在默认关系,致力于降低企业资源访问过程中的安全风险。基于零信任理念的逻辑架构如图 1 所示,由零信任核心逻辑组件和内部或外部数据源组成,零信任核心部分分为控制平面和数据平面。来源:NIS
6、T 图 1 基于零信任理念的逻辑架构 位于数据平面的访问主体发起访问请求,由控制平面的策略引擎进行身份认证与多源评估计算,由控制引擎对计算结果进行判定,决定授权策略,一旦授权访问,控制引擎将通知数据平面的安全代理,为该次访问建立安全连接。策略引擎仍持续对访问进行评估,一旦参与因素或其行为发生变化,策略引擎将依据新的评估源重新评估,控制引擎将依据评估结果判定授权策略是否需要改变,随时通知安全代理执行相应操作,最大限度保障资源安全。(一)(一)零信任弥补传统安全零信任弥补传统安全防护防护机制缺陷机制缺陷 1.IT 架构从封闭走向开放,传统安全防护架构面临挑战 零信任发展研究报告(2023 年)2
7、近年来,国家高度重视和支持数字经济发展,大力支持产业数字化,同时,用户需求不断升级,驱动企业加速数字化转型进程。传统企业安全架构基于网络边界构建信任域,随着数字化不断深入,边界逐渐消失,企业 IT 架构面临更多安全挑战:一是数据中心内部东西向流量安全防护薄弱。随着应用云化,构建方式微服务化,服务间需进行频繁的通信和交互,数据中心内部互访力量增多。传统安全防护侧重南北向,若有东西向流动的恶意流量,无法提供防护。二是安全策略仍待细化。随着虚拟化、容器等云计算技术的广泛使用,企业纳管资源粒度不断细化,安全防护策略也需随资源粒度的细化而细化,以承载不同类型、不同级别的业务。三是跨云的连接、数据传输使得
8、资源暴露面增大。随着 5G 与分布式云的融合,用户得以在任意时间使用任意设备从任意位置快速获取资源,然而云间的连接点尤为脆弱,攻击者可以通过攻击进入云中,并在云间实现威胁渗透。四是防火墙与 VPN 无法保证用户操作合法性。无界办公需求增多,用户接入方式复杂多样,传统的网关安全防护设备无法判断拥有账号、密码的用户身份是否合法、操作行为是否符合其身份。随着远程办公常态化,数字化工作空间规模化使用,终端和身份面临更多不可信问题:一是网络接入位置和时间多变,用户不可控性增加。外网连接占比增多,时间从集中变得分散,大量外网访问行为中可能混杂着黑客行为,仅依靠传统 VPN(Virtual Private
9、Network,虚拟专用网络)技术难以对用户身份是否合法进行有效判断。二是使用未受管控设备办公,致使风险要素增多。过去员工主要使用企业派零信任发展研究报告(2023 年)3 发的固定设备办公,由于默认内网安全,终端管控手段较为简单。随着使用 BYOD(Bring Your Own Device,自带设备)与移动设备办公的员工逐渐增多,企业数据将与未知下载路径的私人应用共享同一空间,关键数据所有权模糊,且与企业派发设备相比,BYOD 软硬件环境的安全状态更加难以预测,传统终端管控手段难以应对。三是供应链协作触发业务流转,数据保护难度增大。随着数字化业务的开展,数据由静止转向流动,保护对象时刻更迭
10、,其所应授予权限也处于变化状态,传统数据安全防护手段无法依据数据重要等级进行差异化防护,且各企业安全管理机制有差异,防御能力参差不齐,难以有效保护。随着数字经济走深向实,企业不断开展产品服务创新实现业务转型,企业将面临新的特性威胁:一是业务面临更多欺诈威胁。数字化转型赋能业务模式创新,新零售等新业务形式涌现,优化整合线上线下资源,数字化零售业务从线下转向线上,新零售面临大量欺诈、羊毛、作弊、盗用、虚假信息、刷单等业务安全威胁,传统安全防护手段无法有效解决。二是物联网终端安全防护能力差异大,终端设备易被入侵。物联网具备独特的组网模式,通信传输体系复杂,通信协议安全性差,且智能产品多处于网络边缘,
11、终端安全防护能力差异较大,大量传统安全防护手段主要解决以太网安全问题,物联网终端设备易受入侵和劫持,边界安全防护无法覆盖到位。2.零信任规避传统安全机制中过度信任问题 传统安全机制失效背后的根本原因是过度信任,零信任不为任何零信任发展研究报告(2023 年)4 参与因素预置信任条件,其根本也是为了解决信任问题,通过动态的、持续的验证,判断访问主客体之间是否存在信任关系,以对主体到客体间的资源访问进行实时防护,具体表现在:一是面向资源管理而非网络。零信任将一切视为资源,任意粒度、任意位置的访问主体对资源的访问都需要进行认证和授权,企业内部资源间的互相访问也需要进行身份验证和权限判定,能够有效抵御
12、威胁横向移动带来的安全风险。二是屏蔽安全策略预分配带来的威胁。零信任能够对物理设备、云服务、接口等所有层级的资源进行防护,在访问主体身份验证和权限判定成功后,仅为其提供满足需要的最小粒度的资源,细化安全策略至资源层面。三是资源对外隐身。利用端口隐藏等技术手段,在访问主体通过验证之前,受访资源对其隐身,大大降低了资源的可见性和攻击暴露面,减少不可控、不可见的安全威胁所带来的攻击。四是以身份为核心执行动态安全防护。零信任强调通过身份信息与多源数据对每一个访问行为进行信任评估,动态授予相应权限,能够对内部访问、远程访问和数据交互的人员、设备、环境等进行有效的安全把控,缓解凭据盗用、高风险误操作等带来
13、的安全威胁。(二)(二)零信任为零信任为新的安全新的安全场景场景提供有力保障提供有力保障 1.零信任保障软件供应链安全 近年来,软件供应链攻击规模持续增长,调查显示3,过去三年全球软件供应链攻击的平均年增长率高达 742%。零信任的应用能够抵御上游供应商、软件开发流程和工具的安全风险,是企业软件供应 3 Sonatype8th State of the software supply chain 零信任发展研究报告(2023 年)5 链安全建设的有效举措。一是限制上游供应商权限,零信任基于最小化权限原则对供应商的访问过程进行动态授权,防止攻击者以供应商为跳板侵入企业网络环境后进行横向移动,收敛
14、软件供应链攻击的风险范围;二是助力研发运营关键环节的风险监测与安全准入,零信任与安全左移相融合,默认第三方组件、容器镜像、代码仓库等实体不可信任,在研发运营流程中通过多层次的自动化安全检查,发现各实体的漏洞、运行时攻击等风险,保障软件供应链交界面的安全研发与交付。2.零信任抵御勒索软件攻击 当前,勒索软件攻击形势严峻,对关键信息基础设施等领域造成严重影响,据预测4,勒索软件损失到 2031 年将达到 2650 亿美元。基于零信任理念的安全防护架构可帮助企业降低勒索软件攻击风险,提升威胁进入壁垒,主要表现在以下几个方面:一是身份验证贯穿访问始终,零信任默认安全风险无处不在,不为访问主体预置信任,
15、在访问过程中持续验证身份,加大攻击者渗透整个网络的难度;二是访问行为的持续监测,勒索软件在攻入企业内网后,会对关键数据的位置进行扫描,零信任通过对访问主体各行为进行监测,识别高危动作,及时执行访问降级或阻断;三是网络微分段精细化流量管理,攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统横向渗透,通过网络微分段将网络划分成细小的分段,阻止勒索软件在网络中进行横向移动,从而将勒索软件的影响从企业内网多台 4 世界经济论坛2022 年全球网络安全展望报告 零信任发展研究报告(2023 年)6 业务服务器和数据存储服务器降低至单一用户的电脑,将风险控制在最小限度。如 Akamai
16、 通过收购 Guardicore 及其一流的网络微分段解决方案,以应对 Conti 的勒索威胁;四是多因子认证强度可动态变化,当访问认证通过率较高时,可以降低多因子认证强度以提升用户体验,当访问主体信誉度较低时,可提升多因子认证强度,降低组织中最主要攻击类型的脆弱性并增加潜在威胁者接管账户难度。3.零信任促进公共数据与服务安全开放 抗击新冠疫情的过程充分彰显了公共数据和服务的价值意义。为了有效应对突发事件、提升经济和社会公平性,全球多国积极推进数字公共基础设施的建设,促进公共数据和服务的开放。零信任理念能够提升数字公共基础设施的安全访问,保障公共数据和服务的价值释放。一是建立统一数字身份避免数
17、字鸿沟,零信任为人、企业组织等实体建立唯一数字身份标识,避免实体通过多个身份账号获取额外的公共福利,如印度多个福利项目基于数字身份系统 Aadhaar 清理受益名单;同时,数字身份的发放能够打破地区局限,任何地方的任何人都可以方便获得唯一的数字身份,有效促进发展援助、国际合作等方面的发展。二是最小化动态授权避免数据和服务的滥用,零信任能够对数字公共基础设施的每一个访问进行风险评估并授予最小权限,验证访问主体是数字身份的真实持有人,同时确保数字身份的真实持有人仅能获取权益内的公共数据和服务。零信任发展研究报告(2023 年)7(三)(三)零信任相关政策与标准涌现,驱动产业规范发零信任相关政策与标
18、准涌现,驱动产业规范发展展 零信任已经从一个新兴安全理念发展成为全球网络安全的关键技术,商业模式走向成熟,市场逐步规模化,已成为了政企数字化转型的首选安全战略。以美国为首的发达国家高度重视零信任能力建设。如表 1 所示,自 2019 年起,美国陆续发布零信任指导建议、计划等推动零信任在美落地,其他发达国家也纷纷在零信任领域展开布局,以强化网络空间话语权。2022 年 11 月 22 日,美国国防部发布了 国防部零信任战略和国防部零信任能力执行路线图,计划在 2027 年之前实施战略和相关路线图中概述的独特的零信任能力和活动。2023 年 4 月11 日,CISA(美国网络安全和基础设施安全局)
19、发布第二版零信任成熟度模型,旨在降低美国机构实施零信任的壁垒。种种举措显示美国正加速在零信任领域的研究与应用。表 1 国外零信任相关政策 时间时间 政策发布组织政策发布组织 名称名称 侧重点侧重点 美国 2019.04 ACT-IAC(美国技术委员会-工业咨询委员会)零信任网络安全当前趋势 对政府机构采用零信任进行评估 2019.07 DIB(美国国防创新委员会)零信任安全之路 指导国防部实施零信任架构 2019.07 DISA(美国国DISA 战略计划 2019-明确 DISA 网络防御零信任发展研究报告(2023 年)8 防信息系统局)2022 战略重点为零信任 2019.10 DIB 零
20、信任架构(ZTA)建议 建议将零信任实施列为最高优先事项 2021.02 DISA 国防部零信任参考结构1.0 建议 DoD 下一代网络安全架构基于零信任建设 2021.02 NSA(美国国家安全局)拥抱零信任安全模型 提出渐进式部署零信任方式 2021.05 美国总统拜登 14028 号行政令 发动联邦政府迁移上云使用零信任架构 2021.09 OMB(联邦政府管理和预算办公室)美国政府向零信任网络安全原则的迁移(征求意见稿)要求各机构在 2024 年前实现具体的零信任安全目标 2021.09 CISA(网络安全和基础设施安全局)零信任成熟度模型(征求意见稿)细化五个“具体的零信任安全目标”
21、2021.09 CISA 云安全技术参考架构(征求意见稿)推荐采用零信任辅助迁移上云 2022.11 DoD(国防部)国防部零信任战略、国防部零信任能力执行路线图 概述国防部计划如何在 2027 年前在国防部范围全面实施零信任网络安全框架 2023.2 DISA 雷霆穹顶第二阶段 为机密网络开发零信任安全和网络架构计划原型 2023.4 CISA 零信任成熟度模型(第二版)降低美国机构实施零信任的壁垒 英国 2020.10 NCSC(英国国零信任架构设计原积极响应美国零信任零信任发展研究报告(2023 年)9 家网络安全中心)则 战略,为政企机构实施零信任提供参考 加拿大 2021.03 加拿
22、大政府部门机构-共享服务部 网络与安全战略 采用零信任等新方法支撑未来网络服务 新加坡 2021.10 新加坡政府 网络安全战略 2021 要求相关机构实现从边界防护向零信任安全模式转变 来源:公开材料整理 我国加大政策保障,推动零信任落地。目前我国正在从政策、行业实践、产业发展等多个层面对零信任进行积极探索,工业和信息化部通过多种举措引导零信任发展,前期以推动零信任理论研究和技术创新为主,后期加强零信任技术应用,推动项目落地,具体表现为:一是,发布 网络安全产业高质量发展三年行动计划(2021-2023 年),重点围绕“加快开展基于开发安全运营、主动免疫、零信任等框架,推动创新技术发展与网络
23、安全体系研发。加快发展动态边界防护技术,鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用”等内容展开。二是,多个零信任项目入选重点领域试点示范项目名单,包括“2022 年网络安全技术应用试点示范项目名单”、“2021 年大数据产业发展试点示范项目名单”等。我国已从多层级启动零信任标准研究,协助建立产业规范。为落实国家网络信息安全相关要求,我国已从多层级开展零信任标准研究。国际标准方面,由中国企业主导的 ITU-T(国际电信联盟电信标准分零信任发展研究报告(2023 年)10 局)零信任国际标准服务访问过程持续保护指南正式发布;国家标准方面,全国信息安全标准化技术委员会正在开
24、展信息安全技术 零信任参考体系架构的编制;行业标准方面,中国通信标准化协会正在开展 面向云计算的零信任体系 第 2 部分:关键能力要求、面向云计算的零信任体系 第 6 部分:数字身份安全能力要求、面向云计算的零信任成熟度评价模型、零信任安全技术参考框架 与 网络安全产品能力评价体系 第 11 部分:基于零信任架构的业务安全平台评价方法等标准的研究工作。二、产业供应侧调研洞察:零信任能力生态逐渐成熟 零信任供应侧方面,本报告调研了近五十家国内零信任厂商,梳理零信任所涵盖的六大领域,洞察各厂商零信任安全水平概况,分析其在重点行业零信任市场近三年向好发展态势,以增强零信任产业蓬勃向好发展的信心。(一
25、)(一)围绕围绕六大领域能力六大领域能力,建立产品体系,建立产品体系 1.零信任能力涵盖六大领域 对于网络攻击者,只需要找到整个网络防护的一个脆弱点即可攻破网络,而作为网络安全防护者,需要进行整体的防御。因此,基于零信任理念展开的安全防护不单独强调技术,而是强调解决了哪个领域的安全问题。本报告中,零信任能力涵盖六大领域,如表 2 所示:数字身份是基础组件、是核心,联合网络环境安全、终端安全、数据安全、应用工作负载安全和安全管理五个关键能力,共同赋能企业整体安全防御。零信任发展研究报告(2023 年)11 数字身份主要解决用户身份不统一,以及 IT 架构中所有对象数字身份缺失、不合法等问题。一是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 信任 发展 研究 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。