在產業數字化升級與業務上云的趨勢下，傳統企業保護邊界逐漸被瓦解，企業被攻擊面大幅增加，零信任這一網絡安全的理念受到更多的關注，國內外圍繞零信任展開大量的研究和實踐。

　　那么零信任到底是什么？它有什么優勢？企業該如何部署零信任？騰訊安全圍繞零信任基于自身應用實踐，梳理了24個常見的問題，幫助用戶快速理解。

　　零信任初探

　　Q1：大家都在討論零信任，零信任到底是什么？

　　答：本質上，零信任既不是技術也不是產品，而是一種安全理念，“持續驗證，永不信任”是其基本觀點。零信任假定網絡邊界內外的任何訪問主體（人/設備/應用），在未經過驗證前都不予信任，需要基于持續的驗證和授權建立動態訪問信任，其本質是以身份為中心進行訪問控制。零信任架構則是一種企業網絡安全的規劃，它基于零信任理念，圍繞其組件關系、工作流規劃與訪問策略構建而成。

　　Q2：與傳統的邊界安全理念相比，零信任理念有什么優勢？

　　答：零信任提供了增強安全機制，在新的架構模型下，可以區分惡意和非惡意的請求，明確人、終端、資源三者關系是否可信。相比于傳統邊界安全理念，有以下優勢：安全可信度更高，信任鏈條環環相扣，如果狀態發生改變，會更容易被發現；動態防護能力更強；支持全鏈路加密，分析能力增強、訪問集中管控、資產管理方便等。

　　Q3：零信任會淘汰VPN嗎？

　　答：實際上兩者不是一個維度的概念，不過我們通常拿來作比較。現階段零信任將和傳統VPN并存，主要受限于機構進行零信任改造、升級的速度。從長遠來看，零信任解決方案將會替代傳統VPN的全部功能和適用場景，而部分傳統VPN產品可能會根據零信任理念擴展升級成為零信任的核心組件，Gartner預測到2023年將有60%的VPN被零信任取代。

　　零信任技術解析

　　Q4：作為一種前沿的安全理念，零信任是通過什么技術實現的？

　　答：業內普遍認為軟件定義邊界（SDP）、身份識別與訪問管理（IAM）、微隔離（MSG）是實現零信任的三大關鍵路徑，圍繞零信任的相關產品及解決方案也都基于此展開。Gartner將SDP描述為軟件定義的圍繞某個應用或某一組應用創建的基于身份和上下文的邏輯訪問邊界，具備服務隱身、控制層與數據層分離、靈活可擴展架構的安全系統。IAM將企業所有數字實體進行有效管理并通過唯一資源標識進行身份化處理，同時兼容現有的各類身份認證協議，能夠靈活支持多因子認證和人機挑戰的編排，并能夠實現和傳統AD域控打通或者替換，最終實現以身份為中心進行該身份的全生命周期的動態信任管理，并根據信任評估結果，判斷當前身份是否可以訪問數據資產。MSG則是將數據中心的資源或服務按不同的工作負載角色在邏輯上細分為不同的安全段，并配合SDP為這些安全段定義相應的安全訪問控制策略。

　　Q5：作為零信任的一種實現方式，SDP具備哪些優勢？

　　答：SDP是在企業上云、遠程辦公、移動辦公的大環境下設計出來的，是零信任安全理念具體落地的核心控制組件，具有以下五點優勢：1）最小化攻擊面降低安全風險；2）分離訪問控制和數據信道，保護關鍵資產和基礎架構，阻止潛在的基于網絡的攻擊；3）提供了現有的安全設備難以實現的集成安全體系結構；4）提供了基于連接的安全架構，而不是基于IP的替代方案；5）允許預先審查控制所有連接，從哪些設備、哪些服務、哪些設施可以進行連接，安全性方面是比傳統的架構更有優勢。

　　Q6： 企業IAM在零信任架構中起到什么作用？

　　答：零信任的本質就是持續的身份鑒別與訪問控制，企業IAM在整個零信任架構中，不僅要為各類用戶、設備、應用、數據提供統一的、權威的身份鑒別服務；還需要具備整合企業或外部各種認證技術的能力，實現企業級的統一訪問控制。因此，我們可以看出，IAM是零信任架構中的一個重要組成部分，通過實施IAM項目，企業可以將原本分散的用戶體系、認證體系整合起來，同時進一步加強用戶在應用層面的最小化權限控制力度，為逐步實現零信任架構下的多層訪問控制提供堅實的身份治理服務能力。

　　Q7： 零信任架構中的IAM與傳統IAM相比，有哪些技術差異？

　　答：在Gartner關于構建敏捷和現代化身份基礎設施的技術報告中對現代化IAM的定義：是一個全新的、動態的、智能的架構，通過不斷增強的、先進的分析技術，演進以滿足企業未來身份管理的基礎設施。和傳統的IAM相比，除了對用戶身份的統一管理、認證和授權之外，現代化IAM還需要實現基于大數據和AI技術的風險動態感知與智能分析，對于用戶訪問的行為數據、用戶的特征和權限數據，以及環境上下文數據進行分析，通過風險模型自動生成認證和授權策略，

　　Q8：實現零信任架構的關鍵能力是什么？

　　答：關鍵能力包括可信識別、持續信任評估、業務訪問鑒權、網絡訪問權限控制和安全可視化能力。可信識別能力是零信任的基礎能力，包括用戶可信識別、受控設備可信識別和受控應用可信識別。通過可信的用戶在可信的受控設備上使用可信的應用，對受保護資源進行可信的訪問。在此能力基礎上，依托持續信任評估能力，對訪問主體的整個訪問過程進行監控分析，對用戶、受控設備和應用的可信度進行持續的信任評估，根據評估結果通過應用訪問控制能力和網絡訪問控制能力進行動態的權限控制，并通過安全可視化能力將訪問流量、路徑和效果等直觀呈現，為企業安全運營提供有力的決策支撐。

　　Q9：在零信任架構下，如何做到安全可視化的？

　　答：通過可視化技術將訪問路徑、訪問流量、用戶異常訪問行為直觀展示，也可以將在線設備狀態、統計情況、策略執行情況、執行路徑等可視化呈現，幫助安全運營人員更為直觀、更為全面的了解訪問主體的安全狀態和行為，從而更快速、更精準的找到風險點，觸發安全響應，支撐安全決策。

　　Q10：如果我的企業想要構建零信任體系，應該如何接入？

　　答：企業具體落地的時候，首先要圍繞關鍵訪問路徑，做接入安全建設，做身份安全、細粒度的訪問控制、安全鏈路。然后再根據企業的需求，圍繞聯動關鍵接入過程，做終端安全、網絡安全、數據安全等，根據企業實際需求，投入不同關鍵的安全組件，極大降低企業的安全風險。

　　Q11：構建零信任架構需要遵循什么原則？

　　答：沒有規矩，不成方圓。一般來說構建零信任有6個原則需要遵循：

　　·  任何訪問主體（人/設備/應用等），在訪問被允許之前，都必須要經過身份認證和授權，避免過度的信任；

　　·  訪問主體對資源的訪問權限是動態的，不是靜止不變的；

　　·  分配訪問權限時應遵循最小權限原則；

　　·  盡可能減少資源非必要的網絡暴露，以減少攻擊面；

　　·  盡可能確保所有的訪問主體、資源、通信鏈路處于最安全狀態；

　　·  盡可能多的和及時的獲取可能影響授權的所有信息，并根據這些信息進行持續的信任評估和安全響應。

　　Q12：構建零信任架構，有哪些核心組件是必備的？

　　答：零信任作為新一代安全架構，必備的關鍵組件包括終端代理、身份認證、動態信任評估引擎、訪問控制、安全訪問網關等。

　　零信任部署應用

　　Q13：當前零信任具體應用場景有哪些？

　　答：零信任理念主要是以動態訪問控制為核心的企業內部安全框架，可以非常靈活的應對多種安全場景，包括遠程辦公/運維場景、混合云業務場景、分支安全接入場景、應用數據安全調用場景、統一身份與業務集中管控場景等。

　　Q14：業務上云趨勢下，零信任如何解決混合云業務場景下的安全問題？

　　答：在零信任安全架構下，通過零信任訪問網關的隧道聯通技術，將分散在不同環境的業務系統統一管理，同時，利用網關將業務系統的真實IP、端口隱藏，保障了業務部署于任何環境下的訪問安全性，有效防御數據泄露、數據丟失、DDoS攻擊、APT攻擊等安全威脅。同時，訪問策略從以IP為中心轉變為以身份為中心，訪問鑒權不隨策略的頻繁變更而變更。同時，跨過混合云網絡間的邊界隔離，可以讓用戶靈活便捷且更為安全的訪問處于不同云上的業務系統。

　　Q15：零信任安全架構如何確保分支安全接入場景的安全性和穩定性？

　　答：零信任具有靈活快速適配客戶訪問端和業務端多樣性的特點，同時保障訪問鏈路穩定性和安全性，可以解決很多問題，像企業分支/門店有接入總部、訪問總部業務或者跟總部業務之間有數據交換面臨的接入點種類數量多，攻擊面廣；業務類型多，訪問協議多樣；專線部署成本高，VPN安全性和穩定性不能保證等等。

　　Q16：在遠程/云辦公這一新型高效辦公場景下，零信任如何解決新安全風險的？

　　答：零信任遠程辦公安全高效在于遵循 “4T原則”，即可信身份（Trusted identity）、可信設備（Trusted device）、可信應用（Trusted application）和可信鏈路（Trusted link），通過按需、動態的實時訪問控制策略，對終端訪問過程進行持續的權限控制和安全保護，包括病毒查殺、合規檢測、安全加固、數據保護等，實現終端在任意網絡環境中安全、穩定、高效的訪問企業資源及數據。同時，終端一鍵授權登錄和全球網路加速接入等功能的設置，幫助企業解決快捷登錄和跨境跨運營商訪問卡頓或延遲過高的問題，優化辦公體驗、提升建設收益。

　　Q17：在統一身份與業務集中管控場景中，零信任如何是實現安全性和便利性的統一？

　　答：基于零信任安全的統一身份管控解決方案，通過統一認證、統一身份管理、集中權限管理、集中業務管控、全面審計能力，幫助企業實現安全性與便利性的統一，從而確保企業業務的安全訪問。方案將身份的外延擴展到包含人、設備、應用，在基于角色授權框架的基礎上，結合上下文感知信息（身份安全變化、設備安全狀態變化等），實現自適應的訪問控制。同時，方案結合風控領域的積累，實現對于整體人、設備、訪問風險的集中審計和智能評估，讓安全可識可視。

　　Q18：在訪問過程中，零信任是如何實現權限控制的？

　　答：零信任架構打破了傳統基于網絡區域位置的特權訪問保護方式，重在持續識別企業用戶中在網絡訪問過程中受到的安全威脅，保持訪問行為的合理性，以不信任網絡內外部任何人/設備/系統，基于訪問關鍵對象的組合策略進行訪問控制。針對不同的人員、應用清單、可訪問的業務系統、網絡環境等組合關系，細粒度下發不同的訪問策略，保證核心資產對未經認證的訪問主體不可見，只有訪問權限和訪問信任等級符合要求的訪問主體才被允許對業務資產進行訪問。通過對訪問主體的逐層訪問控制，不僅滿足動態授權最小化原則，同時可以抵御攻擊鏈各階段攻擊威脅。當企業發現安全風險，影響到訪問過程涉及到的關鍵對象時，自身安全檢測可以發起針對人、設備、訪問權限的禁止阻斷。

　　Q19：部署零信任架構的關鍵點是什么？

　　答：要從“身份”、“認證”、“權限”、“動態”、“訪問控制”這幾個方面去說。第一步，要實現數據的身份管理，借助敏感數據發現能力和數據分級分類的能力對數據進行標識，做到數據身份化；第二步，按照最小權限原則，構建身份和數據權限的映射關系；第三步，借助認證和權限的能力，采用數據授權與鑒權、數據操作審計、運維和測試數據脫敏、高敏感數據加密、數據水印等技術，防止在數據使用過程中出現數據泄露和篡改，通過基于數據標簽、用戶屬性、數據屬性等的訪問控制，實現數據細粒度訪問控制；第四步，根據主體的環境屬性及安全狀態動態調整訪問權限。

　　Q20：未來零信任會成為企業安全防護的標準配置嗎？

　　答：在企業的IT架構和管控方面，零信任和身份認證的重要性是越來越強。零信任的框架是在授權前對任何試圖接入企業系統的人/事/物進行驗證。云計算、移動互聯的快速發展導致傳統內外網邊界模糊，企業無法基于傳統的物理邊界構筑安全基礎設施，只能訴諸于更靈活的技術手段來對動態變化的人、終端、系統建立新的邏輯邊界，通過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化，以身份為中心的零信任安全成為了網絡安全發展的必然趨勢。

　　Q21：隨著零信任的發展，零信任交付的趨勢會是怎樣的？

　　答：起步較早的外國市場，零信任商業化落地較為成熟，SECaaS（安全即服務）已成主流交付。國內已經有很多企業將零信任理念付諸實踐，大多零信任產品交付模式上仍以解決方案為主，未來，我國零信任交付模式也有望逐漸向 SECaaS 轉變。

　　騰訊零信任探索和實踐

　　Q22：騰訊目前有哪些基于零信任的產品/方案？

　　答：騰訊從16年開始探索研究零信任，目前推出了零信任安全管理系統（騰訊iOA），基于身份可信、設備可信、應用可信、鏈路可信的“4T”可信原則，持續驗證，永不信任，對終端訪問過程進行持續的權限控制和安全保護，降低企業不同業務場景的風險，實現終端在任意網絡環境中安全、穩定、高效地訪問企業資源及數據，已在政府、金融、醫療、交通等多個行業領域應用落地。同時，騰訊在零信任架構下，推出基于SDP安全架構的安全連接云服務，支持連接公有云應用及私有化應用，提供新一代的安全接入云服務。

　　Q23：騰訊iOA目前的進展和應用怎么樣？

　　答：實踐出真知，騰訊iOA已經過7萬多員工的實踐驗證。在2020年新冠疫情期間，更是支撐了全網員工的工作，在滿足信息互通、收發郵件、遠程會議、流程審批、項目管理等基本辦公需求基礎上，同時實現遠程無差別地訪問 OA 站點和內部系統、開發運維、登錄跳板機等。除了騰訊自身，iOA還在慧擇保險、中交建設集團、招商局集團、寶安區政府、四川人民醫院等客戶成功應用。

　　Q24：在完善零信任行業標準方面，騰訊做了哪些工作，取得了什么成果？

　　答：騰訊在安全運營中踐行零信任安全理念，積極推動并參與行業標準制定，促進零信任產業規范化發展。

　　·  2019年7月，騰訊牽頭的“零信任安全技術參考框架”獲CCSA行業標準立項；

　　·  2019年9月，騰訊零信任安全研究成果入選《2019年中國網絡安全產業白皮書》；同月，騰訊發起的“服務訪問過程持續保護參考框架” 獲ITU-T國際標準立項；

　　·  2020年6月，騰訊聯合業界多家權威產學研用機構，在產業互聯網發展聯盟下成立國內首個零信任產業標準工作組，以“標準化”為紐帶，致力為用戶提供高質量的產品和服務；

　　·  2020年8月，工作組在業界率先發布《零信任實戰白皮書》；

　　·  2020年10月，工作組發起零信任產品兼容性互認證計劃，促進不同廠商間零信任相關產品的兼容性和互聯互通；

　　·  2020年11月，工作組推動“零信任系統技術規范”聯盟標準研制工作； ……

　　未來騰訊將繼續以自身的技術和實踐經驗為基礎，協同生態伙伴共同促進零信任產業規模化發展，為零信任在各行業領域的落地提供參考。