2023零信任技术和产业发展白皮书.pdf

1 零信任技术和产业发展（2022 年）4 前 言 零信任作为新型网络安全架构，以其“从不信任、始终验证”的理念为产业数字化升级转型提供了全新的安全方案。零信任网络安全架构的研究已经进入快车道。强化零信任网络安全体系建设，推动零信任网络安全部署实施，优化数字信息基础设施安全模型，培育零信任产业生态闭环已成为当前国内国际安全领域关注的重点。本白皮书以零信任总体架构与关键技术为基础，聚焦典型应用的场景需求，提炼针对性的参考方案，整合当前的实践情况，分析实施应用案例的价值与可推广性。以微观视角探讨供需双方的需求，以宏观视角分析相关政策的指导性意义，最后总结与分析零信任在重点领域的发展机遇和挑战，形成对零信任发展全流程的探索。1 目 录 一、零信任发展背景与产业生态.1(一)零信任的诞生及发展.1(二)零信任战略价值.2(三)零信任产业生态分析.4(四)零信任产业中的关键角色.5 二、零信任总体架构及关键技术.8(一)零信任总体架构.8(二)零信任关键技术.9 三、零信任典型应用场景.23(一)远程办公.25(二)多云环境.27(三)多分支机构.32(四)物联网.34(五)数据中心.37 四、零信任工程实施重点与案例.40(一)零信任工程实施方法与要点.40(二)金融行业应用案例.42(三)电信运营商行业应用案例.45(四)政府行业应用案例.49(五)国企央企行业应用案例.52(六)医疗行业应用案例.56 五、零信任相关政策分析.61(一)美国高度重视零信任产业建设.61(二)我国逐步推进零信任产业发展.67 六、零信任发展机遇与挑战.68 2(一)5G 场景.69(二)车联网场景.70(三)物联网场景.72(四)工业互联网场景.73(五)算力网络场景.75(六)元宇宙场景.77 1 图 目 录 图 1 中国零信任产品视图.7 图 2 零信任总体架构.8 图 3 零信任综合安全管理要求框架.22 图 4 远程办公的总体零信任安全解决方案.26 图 5 基于 CSP 网络基础设施的零信任解决方案.29 图 6 基于 SDP 架构的零信任解决方案.30 图 7 基于身份的微隔离零信任解决方案.31 图 8 多分支机构的总体零信任安全解决方案.33 图 9 基于行为验证的评估体系.36 图 10 物联网终端安全接入方案.37 图 11 数据中心零信任实践技术架构 .39 图 12 零信任实施重点架构图.40 图 13 金融行业零信任解决方案.44 图 14 电信运营商行业零信任解决方案.47 图 15 政府行业零信任解决方案 .50 图 16 国企央企行业零信任解决方案 .55 图 17 医疗行业零信任解决方案.58 图 18 车联网系统架构示意图.71 零信任技术和产业发展白皮书 1 一、零信任发展背景与产业生态(一)零信任的诞生及发展 传统的安全模型依赖于基于边界的安防方式，即建立一个安全的网络边界，在边界部署包括防火墙、入侵检测、WAF等安全设备，形成的安全防护自然切分出企业内外网，同时默认内网的一切都是可信的。然而随着新一代信息技术的快速演进，云计算、大数据、物联网、移动办公等新技术与业务的深度融合，网络的复杂性不断增加，其安全威胁和风险更是不断涌现，边界意识逐渐淡化，默认以物理边界内外网来判断安全威胁的应用模式无法抵御多重安全挑战，在此背景下，“从不信任、始终验证”的零信任（Zero Trust）理念应运而生。2010年，Forrester分析师约翰.金德维格(John Kindervag)首次提出了零信任安全的概念，即“所有的网络流量都是不可信的，需要对访问任何资源的任何请求进行安全控制”。该理念颠覆了传统边界安全架构思想，是应对新IT时代网络安全挑战的全新战略，因此其理念一经提出便引起了网络安全产业界的关注。谷歌率先孵化出了以零信任为基础的“BeyondCorp”项目，旨在让员工在不受信任的网络中无需接入VPN就能顺利工作。BeyondCorp项目构建了中心化的认证、授权和访问控制系统，真正且彻底地改变了企业的安全体系，是全球第一个零信任理念的落地实践，至此零信任概念得到了网络安全产业界更为广泛的认可。零信任技术和产业发展白皮书 2 作为规划和实施企业体系结构时使用的网络安全原则，零信任可在整个架构中嵌入安全性，将防御重点从状态、基于网络的边界转移到用户、资产和资源。零信任的基本原则是任何参与者、系统、网络或服务在安全范围之外或之内都不会受到信任，对于任何尝试建立访问的行为需要持续的进行安全验证，验证范围涵盖每个用户、设备、应用和交互。为规范化零信任安全架构与技术要求，各方机构先后开展了零信任标准规范、白皮书等相关内容的研究工作。2014年，云安全联盟（Cloud Security Alliance，CSA）发布SDP标准规范V1.0，形成了针对零信任三大技术路线之一软件定义边界的初步探索，后续于2019年到2022年期间，陆续发布了SDP架构指南v2白皮书、软件定义边界（SDP）和零信任、软件定义边界（SDP）标准规范V2.0，形成了针对软件定义边界领域全面且深入的系列成果，进一步推动零信任技术发展。2019年，美国国家标准与技术研究院（NIST）发布了零信任架构草案稿，标志着零信任架构已正式开始了标准化进程。(二)零信任战略价值 全球数字化转型的逐渐深入让“云大物移智”等新技术演进速度加快，越来越多的网络服务需要兼容移动互联网、物联网、5G等新兴技术，同时支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络应用场景，保障终端和用户可以从任何IP地址接入服务网络。然而企业机构的传统网络安全模式专注于边界防御，授权主体（资源请求的终端用户、应用以及其他非人类实体）可广泛地访问内网资源，零信任技术和产业发展白皮书 3 因此，环境内未经授权的横向移动一直是企业机构面临的最大挑战之一。零信任的理念和技术精准对应了市场的需求，根据 Evan Gilman在Zero Trust Networks书中所述，零信任网络建立在五个假设前提之下：l 应该始终假设网络充满威胁；l 外部和内部威胁每时每刻都充斥着网络；l 不能仅仅依靠网络位置来确认信任关系；l 所有设备、用户、网络流量都应该被认证和授权；l 访问控制策略应该动态地基于尽量多的数据源进行计算和评估。在零信任安全模型中，假设环境中存在攻击者，企业环境和任何非企业环境毫无差异，并没有更值得信赖。在这种新范式下，企业必须拒绝隐性信任，不断地分析和评估其内部资产和业务功能的风险，然后制定防护措施来缓解这些风险。在零信任中，这些防护措施通常尽可能减少对资源（如数据、计算资源和应用/服务）的广泛授权访问，将资源仅限于“需要访问和仅授予执行任务所需的最小权限”的主体，并对每个访问请求的身份和安全态势进行持续认证和授权。作为一种以资源保护为核心的网络安全范式，零信任拒绝隐式授予信任，持续进行安全评估，其体系架构是一种端到端的企业资源和数据安全方法，包括身份（人类和非人类的实体）、凭证、访问管理、操作、端点、宿主环境和基础设施。基于“从不信任，始终验证”的原则，零信任通过网络分段、防止横向移动、提供威胁预防和简化精细用户访问控制来保护现代数字环境。作为一种可支撑未来发展的综零信任技术和产业发展白皮书 4 合业务安全防护方式，零信任技术持续创新，融合云原生、软件定义安全、身份管理、数据安全、微隔离等技术体系不断丰富促进安全应用融合发展，从传统“打补丁”被动安全防御向原生转变，实现了持续的安全保障。面对日益复杂的网络环境，风险持续预测、动态授权、最小化原则的“零信任”创新性安全思维契合数字基建新技术特点，借助云、网络、安全、AI、大数据的技术发展，着力提升信息化系统和网络的整体安全性，成为网络安全保障体系升级的中流砥柱。(三)零信任产业生态分析 零信任几乎可以应用到所有涉及身份认证、行为分析、区域隔离、数据访问等各方面的安全产品和架构体系。目前业内普遍认为软件定义边界（Software Defined Perimeter，SDP）、身份识别与访问管理（Identity and Access Management，IAM）、微隔离（Micro Segmentation，MSG）是实现零信任的三大技术路径，其相关的产品及解决方案也都基于此设计研发。软件定义边界（SDP）分离控制面与数据面，实现资产隐身，零信任理念投射到SDP架构中实现对基于网络的攻击行为的阻断；身份识别与访问管理（IAM）是零信任模型的应用基础，零信任借助IAM实现持续的动态认证与动态授权；微隔离（MSG）超越传统网络分段实现东西向防御，零信任理念借助MSG实现数据中心内工作负载间流量可视及访问控制。然而，零信任市场中各方的技术标准、安全理念和实现方案存在较大差异，零信任产业整体呈现出市场碎片化、生态分散化的特点。根据2020年Gartner 发布的零信任访问指南显示，到 2022 年，在向生态合作伙伴开放的新数字业务应用程序中，80%将通过零信零信任技术和产业发展白皮书 5 任进行网络访问，到 2023年，60%的企业将采用零信任替代大部分远程访问虚拟专用网（VPN）。截至目前，零信任产业在国际上已经开始规模化落地部署，市场认知度较高，商业模式较为成熟，其中SECaaS为主流交付模式，已快速步入向零信任架构转型阶段。市场参与者众多，实现路径各有差异，营收超过1.9亿美元的厂商已超过10家。Google、Microsoft 等巨头率先在企业内部实践零信任并推出了完整的解决方案；OKTA、Centrify、Ping Identity 等为代表的身份安全厂商推出“以身份为中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于网络实施方式的零信任方案；此外 Vidder、CryptZone、Zscaler、Illumio 等创业公司亦有创新产品推出。随着零信任研究的进一步深入，我国各个安全厂商也陆续推出零信任相关产品或解决方案，在零信任快速普及的背景下均有望迎来良好的发展机遇。奇安信、深信服、启明星辰、绿盟科技等厂商始终关注国际网络安全技术发展趋势，均推出了相应的零信任整体解决方案；此外，山石网科、云深互联等厂商也积极推动软件定义边界、微隔离等零信任技术方案的落地应用。从交付模式来看，综合考虑国内信息化发展水平及对安全的投入程度，产业短期内仍以解决方案为主，长期有望向SECaaS模式转变。零信任的安全理念，需要基于业务需求、安全运营现状、技术发展趋势等对技术能力进行持续完善和演进，零信任的迁移并不是一蹴而就，需要结合企业现状、目标和愿景进行妥善规划和分步建设。(四)零信任产业中的关键角色 企业不仅要解决基础网络安全问题，拥抱安全自动化和编排，还要为这种转变带来的组织和文化变革做好准备。为了建立零信任信心零信任技术和产业发展白皮书 6 ，企业需要将网络、IT、业务系统所有者、应用、最终用户等涉众全部考虑进来。面对碎片化的市场，产业需要有一个统一的商业架构，与业务目标一致的迭代和逐步递增来帮助证明零信任的价值，并增强企业内部对零信任的接受度和认可度。未来的零信任产业生态圈中将有多个关键角色共建发展，包括：零信任产品生产者、零信任产品消费者、零信任市场管理者等。零信任产品生产者：主要代表为市场上各零信任设备、解决方案的供应商，其根据对行业理解力，通过整合资源为行业提供针对性设备与解决方案的设计和交付，提供生态的聚合及业务的集成验证服务，促进零信任产品/方案的规模化生产。如图1所示，本白皮书共调研了25家零信任产品生产公司，主要包含SDP设备提供商、SDP解决方案提供商、IAM设备提供商、IAM解决方案提供商、MSG设备提供商和MSG解决方案提供商。零信任产品消费者：作为最终用户，是行业的践行者。企业客户可以在行业市场订购行业产品/解决方案/服务，行业市场会给企业客户提供零信任产品/解决方案/服务，以便于企业自我管理，保护核心数字资产。零信任市场管理者：在市场发展的过程中，零信任市场管理者需协助产业供需双方建立良好的市场秩序并进行维护。建立健全的零信任标准体系，规范零信任产品能力，完善零信任评测方案，搭建零信任供需交流平台，为零信任供应商提供规范性指导，全面助力零信任产业健康化发展。零信任技术和产业发展白皮书 7 数据来源：中国信息通信研究院整理（截至 2022年 10月）图 1 中国零信任产品视图 零信任技术和产业发展白皮书 8 二、零信任总体架构及关键技术(一)零信任总体架构 零信任架构是一种新的网络安全技术架构，其核心原则与技术框架严格遵循零信任的定义和原则，针对特定的业务场景和工作流，对构成组件、技术交互方式上提供指导和约束。零信任的能力可以理解为零信任技术架构所能提供的能力，另一方面也可以将零信任的能力认为是实践零信任技术框架所需达到的要求。数据来源：中国信息通信研究院整理（截至 2022年 10月）图 2 零信任总体架构 零信任技术和产业发展白皮书 9 如图2所示，零信任总体架构包含8项零信任关键技术，即身份安全、网络安全、数据安全、基础设施、应用/负载安全、安全监测与评估、安全可视化以及综合安全管理。(二)零信任关键技术 1、身份安全 身份管理作为零信任架构的重要组成部分，严格践行以身份为基石的原则，实现与实体相关标识符的获取、处理、存储、传输，并通过标识鉴别和认证确定实体身份，为建立访问主体和访问客体之间的关系奠定基础。零信任架构的身份管理范围包括从访问主体到访问客体之间所涉及的所有实体，例如人员、设备、资源、网络、计算环境、应用/负载等，根据实体不同的分类特征，采用对应的身份管理系统进行身份管理，遵循各自的技术标准和管理规定。例如，当实体为自然人时，个人身份信息构成人员身份，收集、获取、存储、共享自然人信息就需要遵循个人隐私保护的相关规定；当实体为应用系统时，身份管理系统需通过应用系统URL标识来唯一标识该应用系统；当实体为网络对象时，身份管理系统可通过IP地址或者网络号做为其身份信息的唯一标识；设备身份管理包括设备身份信息的获取、处理、存储、传输和使用，并支持通过设备身份认证帮助识别和验证设备身份。为建立访问主体和访问客体之间的关系，需要基于访问控制模型进行授权，例如使用基于角色的访问控制作为常用的模型，应基于工作职能，将访问权限与特定角色相关联，通过角色联系用户，赋予每个角色访问特定资源的权限。实体被划分到对应的组织分组时，常对应于社会关系中的组织机构，具有对应的社会身份属性，例如，可信零信任技术和产业发展白皮书 10 身份是指国家权威机构建设管理运行的可信网络身份，不是企业级的身份。在零信任安全架构中，访问主体包括人员、设备、应用、系统等，资源作为访问客体，包括一切可被操作的实体，包括终端设备、服务器、数据库、API、功能等；人员、设备和资源也可以组合作为主体，例如用户、用户使用的终端设备和发起访问的终端软件应用组合作为主体。零信任以资源保护为核心，秉承“最小授权”原则，即按照每次完成主体访问任务所需的最小范围，精准组合被访问资源的最低权限，实施细粒度的身份认证和授权访问控制。基于身份管理系统实施的零信任架构，在云计算、大数据、移动办公、远程办公、边缘计算、物联网、5G等多种应用场景下，身份管理系统需要基于不同场景特点，为零信任架构实施提供支撑。身份安全全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现信息资产统一身份认证、授权和身份数据集中管理与审计。零信任架构下的身份安全，以身份为基石，持续监控用户活动，感知和评估实体身份、权限的变化，通过持续地实体身份鉴别、鉴权，保护所有交互过程，降低资源访问过程中的威胁。身份安全主要包括以下技术：1）身份存储（目录）管理技术 身份存储是身份安全的基础，建立身份信息的统一存储，统一管理，提供统一的跨云端、本地端的权威身份源。2）身份生命期管理技术 身份治理实现通过流程自动完成身份生命周期的管理。包括对各类数字身份（用户账号）的识别、开通、变更、授权、启用、禁用、零信任技术和产业发展白皮书 11 删除由平台统一管理，全面动态编排身份生命周期管理，并与各应用系统实现实时自动同步。3）访问管理技术 访问管理可以提供基于访问控制模型，如：基于角色的访问控制、基于属性的访问控制等形式的认证、授权功能。基于不同类型凭证的使用，会有不同的认证技术。2、基础设施 基础设施以网络基础设施、计算基础设施、重要业务系统为核心支撑起零信任核心架构，是对零信任理念的落实与部署，其稳定性、包容性、可扩展性等方面的能力是零信任发展的基石，是形成访问控制、安全审计等零信任核心体系的助力。1）网络基础设施 在网络基础设施方面，边界防护应综合使用防火墙、入侵防御、垃圾邮件过滤等技术；内网应精细划分安全域进行访问控制；应使用SDP等技术优化传统远程接入方案；内网接入应采用认证机制，对接入用户进行访问控制；应建设态势感知系统，对全网安全态势进行感知和响应。2）计算基础设施 在计算基础设施方面，应使用微隔离技术对主机进行全面访问控制；应使用主机基线核查和主机检测响应等技术对主机安全防护进行优化；应使用堡垒机机制对主机登录进行集中访问控制和运维审计；应使用安全审计机制对主机日志进行审计；应建设主机资源监控系统，对计算资源的使用进行全面监控。3）重要业务系统 零信任技术和产业发展白皮书 12 在重要业务系统方面，应使用代理网关技术对业务系统的访问控制进行优化；应综合使用Web漏洞扫描、Web应用防火墙等技术对业务系统进行安全防护；业务系统应采用密码技术对访问通信进行加密；应使用安全审计机制对业务访问日志进行审计；应建设用户行为分析系统，对访问用户的行为进行全面安全分析和响应。4）生产控制系统 在生产控制系统方面，室外设备应有透风、散热、防盗、防雨、防火、防电磁干扰等能力；生产控制系统与其它业务系统之间应有物理隔离或单向安全隔离机制；配置变更应有安全审计机制；生产控制系统内部组件之间的通信应使用密码技术保证机密性和完整性；应采用入侵检测技术对生产控制系统内部进行威胁和异常检测。5）重要数据资源 在重要数据资源方面，应使用网络防火墙和数据库防火墙等技术对数据进行访问控制；应同时具有本地数据备份和异地数据备份与恢复能力；应采用密码技术对数据进行加密存储；应采用数据完整性监控技术对数据进行完整性保护；应建设完备的数据安全治理机制。基础设施的零信任建设不是一蹴而就的，通过建立基础设施零信任技术成熟度模型可以让组织根据自身情况在不同的阶段为自己的基础设施采用不同的安全技术，并逐步增加、优化安全能力，最终完成适合组织自己的基础设施零信任安全建设。3、网络安全 零信任从网络控制机制、网络数据安全、网络访问准入、网络防御机制、安全威胁防护这五个维度保障了网络安全，实现了灵活、稳定的安全访问控制。零信任技术和产业发展白皮书 13 1）网络准入控制 对采用无线、有线、SD-WAN、VPN等方式接入的设备和用户都进行准入控制。2）保护企业资源网络隐身 软件定义边界（SDP），由客户端发起一个连接请求，通过单包授权（SPA）接入到控制器服务，由控制器服务认证鉴权，认证通过后会将需要连接的内网资源下发给客户端，并且连接隧道加密。通过认证后客户端才会知道自己真正要连接的内网应用资源，下发“最小化权限原则”不会将所有内网的操作权限和资源都公开。后续会根据设定的安全策略，逐步地“持续信任评估”。在零信任模型中，所有业务系统都隐藏在安全网关后面。3）访问控制策略 应用基于会话的访问控制，例如，限制哪些IP地址、用户和设备类型可以发起访问哪种应用系统资源。在多云环境中可以采用基于属性的访问控制策略。要实现主体对资源的访问控制策略优化需要考虑访问控制策略的对象、内容、时间、资源位置、访问原因和方式等方面的问题。要实现一个主体对一个资源的访问须使用确定的规则将该流量列入白名单，而对其他访问一律拒绝，即消除隐式的信任。为此，可采用吉卜林方法（Kipling Method）优化访问控制策略。4）数据传输链路安全 根据组织内外部的数据传输要求，采用适当的加密保护措施，保证传输通道、传输节点和传输数据的安全，在数据传输的端点间建立安全的传输通道，防止传输过程中的数据泄漏、被劫持和篡改。加密零信任技术和产业发展白皮书 14 传输将保障数据传输过程中的机密性（只有自己和允许的人才能看到或看懂数据）、完整性（数据在传输过程中没有被破坏或篡改）和可信任性（确保消息是真实的发送方所发的，而不是伪造者发的）。5）防御网络攻击 在防御网络攻击上，强调集成化防御，系统能够集成一组丰富的威胁防御功能，对被防护系统实施3到7层的威胁防护手段，包括：URL过滤和WEB安全防护，DNS安全威胁防护，IoT设备识别与防护，SaaS 应用识别与SaaS DLP，零日攻击，未知威胁防御，未知应用识别与防护等。在防御攻击的过程中，要强调对用户和应用访问的每个会话进行内容安全扫描，持续安全检查和动态授权。4、数据安全 数据无论处在任何位置，都需要通过一定的技术手段，防止数据被破坏或被泄漏。零信任的数据安全是在保证数据安全的基础上，更关注零信任场景下对细粒度管控和动态调整要求的匹配，比如不以数据位置为依托确定安全性、进入管控范围的系统时需要自动及时的标识并实现自动的分类分级管控，从数据的采集、分类、隔离、加密、控制和监控等安全措施出发实现数据安全。数据安全的关键技术有以下6个方面。1）对数据验证、识别、分类分级和加密 数据源可信验证技术主要是保证所采集数据的数据源是安全可信的，确保采集对象是可靠的、未被假冒的。数据安全识别检测是对采集的数据集进行结构化、非结构化内容的安全性检测，确保数据中不携带病毒或其他非安全性质内容。零信任技术和产业发展白皮书 15 数据分级分类标注技术主要实现对结构化、非结构化、半结构化的数据按照内容属性、安全属性、签名属性等不同视角进行标注，标注的方法包括基于元数据的标注技术、数据内容的标注技术、数据属性的标注等。2）数据防泄漏 数据防泄漏技术，包括数据泄漏检测技术，泄露阻止技术和泄露追踪技术。其中泄露检测技术包括：内容搜索和匹配的基础检测技术方式，及精确数据比对（EDM）、指纹文档比对（IDM）、向量分类比对（SVM）等高级检测方式。泄漏阻止技术包括：一是对静态数据的存储保护，二是防范传输态数据的泄漏，三是解决应用系统在使用数据时存在的泄漏风险。泄漏阻止技术，使用较为广泛的主流技术以控制类、加密类、过滤类、虚拟类为代表。数据泄漏追踪技术是通过相关技术来追踪和震慑数据泄漏行为,传统数据泄漏追踪技术包括标记化算法、信息传输决策点技术、诚信机制水印技术、便携式数据绑定算法和流模型算法等,当前主流的泄漏追踪算法主要以过失模型为基础，在不改变源数据的前提下，增加识别泄密者的概率。3）数据活动监测及审计分析 为了对数据安全共享中的异常事件、违规行为和业务运行情况等进行全面的了解和事后安全查漏补缺等处理，监控审计技术主要通过分析的各种安全事件日志，借助关联分析、数字取证、事件追踪溯源、异常行为的监控、数据血缘分析等手段以及实时监控确保数据共享的安全。零信任技术和产业发展白皮书 16 安全策略管理模块对数据安全要求的策略基线进行维护和管理，同时根据监测预警模块反馈的威胁信息，生成全局动态协同数据安全防护决策策略。4）重要数据脱敏和溯源 数据脱敏技术主要包括：基于数据加密的技术，采用一定的加密算法覆盖、替换信息中的敏感部分以保护实际信息的方法。基于数据失真的技术，使敏感数据只保留部分属性，而不影响业务功能的方法。基于可逆置换算法的技术，兼具可逆和保证业务属性的特征，可以通过位置变换、表映射、算法映射等方式实现。在数据资产元数据的基础之上增加安全属性，包括增加数据的标签、安全级别等属性，来实现对数据资产的血缘分析与追踪溯源等安全操作。5）重要数据备份和恢复 备份恢复技术主要是实现对大数据环境下的特殊数据，如元数据、密集度很高的数据或者高频次访问的数据进行，通过非安全手段实现的安全防护技术，通过数据同步、数据复制、数据镜像、冗余备份和灾难恢复等方式实现的安全保护。6）数据使用保护 数据在跨网跨域之间进行交换，需要对数据交换内容、交换行为、交换过程做到可管、可视、可控。数据销毁是为了确保删除的数据不存在非法残留信息和从删除数据中进行恢复，而造成数据信息的泄漏。5、应用/负载安全 零信任技术和产业发展白皮书 17 应用和负载是零信任整体框架的重要组成部分，工作负载支撑上层应用为用户提供服务，应用负载安全的核心是权限控制，在构建可信链的过程中，通过对可信身份、可信设备、可信网络的校验后，权限是最后一道关卡。在零信任框架中，访问行为是需要持续评估的，每次访问默认都是不可信的状态，基于角色访问控制RBAC仍存在一定的监控盲点，比如角色所属的访问设备自身的安全，以及如何确保角色的合法性等。所以在零信任框架中，对于应用和负载安全的核心，建议采用基于属性的访问控制ABAC模型，同时对于每次访问产生的不同属性进行动态的评估，从而判断其访问的权限是否需要动态的调整。综上所述应用和负载安全重点建设的核心技术应包括应用访问控制，负载管理，应用动态信任评估，应用动态权限控制。1）应用访问控制 应用访问控制定义了访问主体对应用（资源）的访问过程控制，主要能力包括访问控制模型（ACL、RBAC、ABAC等）、身份信息校验、应用信息同步（组织架构同步、权限同步）等。2）负载管理 负载管理定义了应用（资源）的运行环境安全保护要求，主要能力包括负载的认证和授权、负载的资产识别、负载环境隔离、负载环境安全检测和负载风险监控。3）应用动态信任评估 应用动态信任评估定义了访问主体对应用（资源）访问过程中的控制能力，是零信任架构中的控制平面。主要能力信息采集和范式化零信任技术和产业发展白皮书 18 、情报获取、可信访问过程监控和分析、风险评估模型管理、风险预警等能力。4）应用动态权限控制 应用动态权限控制是配合应用动态信任评估进行执行落地，主要能力包括权限管理和降级、动态授权策略调整、策略生命周期管理、应用权限对接。6、安全监测与评估 通过监测所有安全事件的获取、提炼，再到分析研判，对研判的结果进行应急响应和提供相关的处置意见等，实现零信任的持续安全监测与评估。该过程亦是动态的，监测是基于实时结果的反馈，并根据一定的风险模型进行评估。安全监测与评估的主要技术特征如下：1）事件摄取和丰富 通过对日志、流量进行实时的采集和信息提取，并通过预先收集的资产台账、用户信息进行一定程度的完善和丰富，补全信息的上下文，在某些实践案例中可基于SIEM完成安全监测与评估所需要的事件元素，并根据零信任应用动态评估所需要的维度进行分类。2）安全监测指标管理 安全监测指标包含了对事件和事态发展趋势的监控。事件监控的指标包括了事件的等级，事件的类型、事件的来源以及事件的详情，通过统计和提醒的方式持续的进行监控。事态的指标包括历史出现频率，相似度，以及长周期基线的情况，如暴力破解的发生概率等。指标反映了风险发生的趋势和影响的范围，事态的监测指标往往用于风险的评估和预判。3）事件调查 零信任技术和产业发展白皮书 19 管理员必须调查事件以确定响应和防止将来发生类似事件的最佳方式，调查需要知识和经验，并辅以提供有关事件原因的详细信息的系统。事件调查是安全监测中较为复杂的一环，调查包括了对于事件上下文的理解，取证以及攻击过程的还原，可通过攻击链模型对安全风险进行回溯。4）响应和执行 应急事件处理的这一阶段需要实施在调查过程中确定的环节步骤，这些元素相互重叠并相互加强，丰富的信息为调查奠定基础，进而推动响应，案例管理工具和实践使工作流程井然有序并更新所有相关利益相关者。5）预案编排 该环节需要建立应急预案的管理能力以及对于风险的预测和管理能力。风险预测管理对企业或组织的长期安全具有重要作用，风险的预测和管理是识别和评估风险后，将风险降低至可接受级别并能够确保维持这种级别的过程。百分之百安全的环境是不存在，零信任的提出是基于当前网络、环境、人、设备等角色的不安全性，认定每种环境都具有某种程度的脆弱性，都会面临威胁。风险管理的核心在于识别风险、以一定的方法论评估风险、结合企业组织实际情况选择可接受风险的容忍度，在尽可能结合历史的情况下借助实时信息进行风险的预测。7、安全可视化 零信任架构中明确定义了跨身份、设备、数据、应用、基础设施和网络实现端到端的零信任方法。通过提高零信任可见性，为其决策提供更丰富的数据。在上述六个方面采用零信任技术后，必然会增加零信任技术和产业发展白皮书 20 安全运营所需要分析的安全事件数量，为了最大程度提高安全分析的聚焦点，对安全事件上下文感知并自动修复缺陷，可以检测和阻止风险，降低安全运营警报分析工作量。通过呈现整个零信任异构环境所有方面的可见性，可最大限度地减少安全运营人员的工作负担。零信任安全可视化主要包括身份可视化、终端可视化、应用可视化、网络可视化、数据安全与违规事件可视化、事件分析响应。1）身份可视化技术 a）支持形成身份分组、分角色、分组织机构等类型以及身份的接入信息、历史接入信息等态势展示。b）支持形成包括身份访问模式、身份越权操作行为、身份异常访问行为等分析数据的态势展示。2）设备可视化技术 a）支持形成设备类型分布、设备脆弱性、设备健康度、设备风险分布等分析数据的态势展示；b）支持基于漏洞和基线核查信息，结合组织信息、应用系统、区域、设备等基础数据，进行多维度分析结果展示；c）支持形成在不同区域、组织、系统和设备上的脆弱性分布以及排名等分析数据的态势展示。3）应用可视化技术 a）支持形成应用类型分布、应用脆弱性、应用健康度、应用风险分布等分析数据，进行态势展示。b）支持形成包括数据泄露风险、数据敏感级别、数据访问模式、越权操作行为、异常访问行为等分析数据，进行态势展示。4）网络可视化技术 零信任技术和产业发展白皮书 21 通过部署NetFlow采集，分析DMZ网络流，检测异常活动。对收集和分析流经网络的流量数据包进行网络可视化动态呈现。5）数据安全与违规事件可视化：a）实现对平台中数据标签、数据流转过程进行事件监测、分析和可视化呈现。b）对数据流转过程中的安全事件和访问行为，按照事件主体、级别、类型、区域分布、流量信息、处置状态等进行多维度分析展示。6）自动化的安全事件分析和缺陷弥补 自动执行安全事件分析和缺陷弥补，让所有身份、设备、应用、基础设施和网络逐步过渡到自动修复，配合访问决策模型，以缩短风险检测和响应时间。a）对安全事件的蔓延、影响范围及趋势进行分析结果展示；b）基于应急响应的执行、流程跟踪、状态反馈、资源对象、安全事件处置情况等数据进行多维度分析和展示。8、综合安全管理 综合安全管理对于零信任的核心价值在于对各项零信任技术的统筹协调。零信任的实现是对现有安全关键技术措施的进一步融合升级，促使组织的网络安全成熟度逐步升级。零信任在组织的成功实施是一项系统性工程，组织除了对技术措施的整合升级外，对传统的信息安全管理和组织人员管理的整合升级也应同步规划、建设和运营，用适当的管理措施统筹零信任关键技术的融合升级，使零信任关键技术能充分有效、持续稳定地交付安全能力。零信任综合安全管理要求框架如图3所示。零信任技术和产业发展白皮书 22 图 3 零信任综合安全管理要求框架 1）风险管理要求 安全风险管理重点体现传统信息安全管理与风险管理的综合要求，是零信任总体架构的重要组成部分。安全风险管理需要与零信任关键技术能力进行适配，通过综合的安全风险管理统筹能力，使零信任关键技术与管理相互融合，使持续自适应风险与信任评估能力（CARTA）可以充分有效地交付，达到持续提升零信任能力成熟度等级的目标。安全风险管理要求的关键技术分别借鉴了信息安全管理体系和风险管理框架的PDCA循环，通过安全风险管理综合能力、风险识别能力、风险评估能力、风险处置能力、风险沟通能力以及风险监视与评零信任技术和产业发展白皮书 23 审能力对组织内的信息安全风险进行管理，管理过程中更多地考虑采用基于零信任技术理念的控制措施对风险进行控制。安全风险管理要求的关键技术分别是安全风险管理综合能力、风险识别能力、风险评估能力、风险处置能力、风险沟通能力以及风险监视与评审能力。安全风险管理综合能力可对组织的统筹管理措施进行集合，风险识别、评估与处置是环环相扣的风险管理流程的核心能力，风险沟通能力始终贯穿于风险管理过程，而风险监视与评审能力则为风险管理的有效性提供监督。2）人员管理要求 人员管理在零信任领域的核心价值在于培养和提升安全人员与业务相关方对零信任理念的理解，并在组织中利用零信任相关技术对人员异常行为进行检测、监控和持续信任评估与响应，最后使零信任充分融入到组织文化当中。通过实施基于零信任的人员管理，组织能够有充足的人力资源和能力参与零信任的改造实施，可以有效、正确地设置零信任的策略，实现异常行为的风险管理，使组织可以有效应对员工、实习生、供应商、合作伙伴、驻场人员、外包等各类人员产生的信息安全风险。三、零信任典型应用场景 与传统安全解决方案相比，零信任解决方案从成本、效率、安全等方面都实现了优化升级。传统方案存在部署与维护麻烦、合规建设周期长、设备投入大建设费用高等问题，零信任解决方案实现应用程序虚拟化，可实现一台终端多网访问，设备及运维成本大幅降低。传零信任技术和产业发展白皮书 24 统方案操作复杂，设备体量大，不易管理，业务效率提升难度大，零信任解决方案实现系统一体化管控，操作更为便捷，设备体量小，降低了管理压力，效率得以大幅提升。传统方案中完全信任企业内部网络，缺乏有效安全防护手段，业务不能有效隐藏，致使网络漏洞与高危端口容易成为安全隐患，零信任解决方案可切分内外网，只允许授权合规访问授信网络，形成更为安全的网络隔离，同时对数据进行加密隔离存放、使用控制等，实现数据面隔离，全面收敛暴露面，规避漏洞风险。目前零信任解决方案已经在多场景中进行应用，成为新型网络安全护航模式。零信任常见使用场景有远程办公、多云环境、多分支机构、物联网、数据中心，如表1所示。应用零信任SDP、IAM、MSG技术可形成一种端到端的网络安全体系，从身份、访问管理、操作、终端到环境与基础设施形成动态的细粒度防护模型，消除信息系统和服务中实施精准访问控制策略的不确定性，以保障终端对资源的可信访问，提升企业数字化转型中新IT架构的安全性。表 1 多场景零信任解决方案分析 应用场景 应用技术 关键技术要素 远程办公 SDP IAM 多因子身份认证 动态访问控制 数据传输加密 多云环境 SDP MSG 动态身份认证 动态授权 动态访问控制 网络微分段 安全可视化 零信任技术和产业发展白皮书 25 多分支机构 SDP IAM 多因子身份认证 动态访问控制 网络资源隐身 分布式部署 物联网 SDP IAM 分布式部署 终端感知 数据防泄漏 增强型身份认证 数据中心 IAM MSG 动态信任评估 细粒度访问控制 东西向流量防护(一)远程办公 1、远程办公的安全需求 自 2020 年新冠疫情爆发之后，远程办公已成为主流的办公方式之一，其灵活便捷的特性让企业员工可以随时随地办公，大大降低了疫情防控的风险，提升了企业办公效率的同时压缩了公司运营成本。远程办公虽提升了工作的便利性，但其潜在的安全问题还是影响并制约着它的发展:系统安全：在线会议、文档协作等办公场景下的系统安全功能不完备，系统自身安全漏洞，安全配置不适配等问题，加大了远程办公安全威胁。数据安全：在远程协作的办公模式下，原本存放于数据中心的数据通过各类会议软件、网络通道在员工的个人终端流动、存储，致使企业内部网络对外暴露风险增大，重要敏感业务数据泄露风险加大。零信任技术和产业发展白皮书 26 设备安全：远程办公的设备绝大多数为用户自由设备，在接入远程办公系统时，由于未采取适当的安全防护策略，极易被恶意软件攻破，导致权限滥用、数据泄露等风险引入内部网络。个人信息安全：远程办公系统在用户接入系统时，通常会采集用户的个人信息以进行核对，所有的个人信息（如：通讯信息、健康情况、地址信息等）会进行统一的存