零信任发展研究报告（2023年）-39页-WN9.pdf

零信任零信任发展发展研究研究报告报告（2023 年年）中国信息通信研究院云计算与大数据研究所 2023 年 8 月 群内每日免费分享5份+最新资料 群内每日免费分享5份+最新资料 300T网盘资源+4040万份行业报告为您的创业、职场、商业、投资、亲子、网赚、艺术、健身、心理、个人成长 全面赋能！添加微信，备注“入群”立刻免费领取 立刻免费领取 200套知识地图+最新研报收钱文案、增长黑客、产品运营、品牌企划、营销战略、办公软件、会计财务、广告设计、摄影修图、视频剪辑、直播带货、电商运营、投资理财、汽车房产、餐饮烹饪、职场经验、演讲口才、风水命理、心理思维、恋爱情趣、美妆护肤、健身瘦身、格斗搏击、漫画手绘、声乐训练、自媒体打造、效率软件工具、游戏影音扫码先加好友，以备不时之需扫码先加好友，以备不时之需行业报告/思维导图/电子书/资讯情报行业报告/思维导图/电子书/资讯情报致终身学习者社群致终身学习者社群关注公众号获取更多资料关注公众号获取更多资料版权声明版权声明本报告版权属于中国信息通信研究院，并受法律保护。本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应转载、摘编或利用其它方式使用本报告文字或者观点的，应注明注明“来源：中国信息通信研究院来源：中国信息通信研究院”。违反上述声明者，本院。违反上述声明者，本院将追究其相关法律责任。将追究其相关法律责任。前前 言言 近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新浪潮。企业 IT 架构从建设到运营发生极大变革，防护机制从以网络边界为核心向以身份为核心的零信任转变，零信任产业已形成蓬勃发展的良好态势，愈发得到行业关注。中国信通院持续跟踪零信任发展历程，曾在 2020 年 8 月、2021年 5 月发布 网络安全先进技术与应用发展系列报告零信任技术（Zero Trust）1、数字化时代零信任安全蓝皮报告2等研究报告，对零信任基本原则、逻辑架构组成、通用应用场景等进行了阐述。2023年发布零信任发展研究报告，报告聚焦过去两年多零信任产业的新发展新变化。报告首先介绍了数字化转型深化后企业 IT 架构所面临的安全挑战，零信任如何解决安全挑战以及如何应对新的安全威胁。其次从零信任供应侧和零信任应用侧两大视角对我国零信任产业的发展情况与应用痛点进行观察和分析。在零信任供应侧方面，梳理了国内各零信任厂商安全水平概况，分析了重点行业零信任市场近三年发展态势。在零信任应用侧方面，基于对重点行业用户的调研结果，从零信任建设前期、建设中期和使用运营期，分析了用户零信任建设过程中的痛点、肯定与思考，为零信任供应侧提升和优化能力提供指引，同时增强应用侧用户的落地信心。最后总结了零信任技术发展趋势，并对零信任产业发展提出建议。1 http:/ 2 http:/ 目目 录录 一、零信任保障资源可信访问，应用价值日益凸显.1（一）零信任弥补传统安全防护机制缺陷.1（二）零信任为新的安全场景提供有力保障.4（三）零信任相关政策与标准涌现，驱动产业规范发展.7 二、产业供应侧调研洞察：零信任能力生态逐渐成熟.10（一）围绕六大领域能力，建立产品体系.10（二）行业应用不断深化，零信任市场步入成长期.20 三、产业应用侧调研洞察：用户对零信任建设尚存顾虑，同时肯定零信任核心价值 25（一）零信任从零到一，落地部署面临多重阻碍.25（二）微隔离市场向好，用户看重网络分段能力.27（三）应用价值受肯定，仍需避免重建设轻运营.28 四、我国零信任发展趋势及建议.30（一）零信任技术发展呈三点趋势.30（二）零信任产业发展的四点建议.32 图图 目目 录录 图 1 基于零信任理念的逻辑架构.1 图 2 我国零信任供应侧发展路径.14 图 3 供应侧 SaaS 化情况.16 图 4 供应侧零信任能力分布.17 图 5 身份安全产品联动情况.17 图 6 安全管理产品联动情况.18 图 7 终端安全产品联动情况.19 图 8 供应侧企业落地零信任客户数量区间.21 图 9 微隔离类产品纳管工作负载总数.22 图 10 软件定义边界类产品纳管员工总数.23 图 11 零信任应用环境情况.24 图 12 落地零信任使用场景情况.25 图 13 统一整个基础设施的策略管理.31 图 14 身份信息穿透业务访问全程.32 表表 目目 录录 表 1 国外零信任相关政策.7 表 2 零信任安全能力与子能力.12 零信任发展研究报告（2023 年）1 一、零信任保障资源可信访问，应用价值日益凸显 零信任秉持“永不信任，持续验证”的理念受到业内广泛关注，其打破了网络位置和信任间的潜在默认关系，致力于降低企业资源访问过程中的安全风险。基于零信任理念的逻辑架构如图 1 所示，由零信任核心逻辑组件和内部或外部数据源组成，零信任核心部分分为控制平面和数据平面。来源：NIST 图 1 基于零信任理念的逻辑架构 位于数据平面的访问主体发起访问请求，由控制平面的策略引擎进行身份认证与多源评估计算，由控制引擎对计算结果进行判定，决定授权策略，一旦授权访问，控制引擎将通知数据平面的安全代理，为该次访问建立安全连接。策略引擎仍持续对访问进行评估，一旦参与因素或其行为发生变化，策略引擎将依据新的评估源重新评估，控制引擎将依据评估结果判定授权策略是否需要改变，随时通知安全代理执行相应操作，最大限度保障资源安全。（一）（一）零信任弥补传统安全零信任弥补传统安全防护防护机制缺陷机制缺陷 1.IT 架构从封闭走向开放，传统安全防护架构面临挑战 零信任发展研究报告（2023 年）2 近年来，国家高度重视和支持数字经济发展，大力支持产业数字化，同时，用户需求不断升级，驱动企业加速数字化转型进程。传统企业安全架构基于网络边界构建信任域，随着数字化不断深入，边界逐渐消失，企业 IT 架构面临更多安全挑战：一是数据中心内部东西向流量安全防护薄弱。随着应用云化，构建方式微服务化，服务间需进行频繁的通信和交互，数据中心内部互访力量增多。传统安全防护侧重南北向，若有东西向流动的恶意流量，无法提供防护。二是安全策略仍待细化。随着虚拟化、容器等云计算技术的广泛使用，企业纳管资源粒度不断细化，安全防护策略也需随资源粒度的细化而细化，以承载不同类型、不同级别的业务。三是跨云的连接、数据传输使得资源暴露面增大。随着 5G 与分布式云的融合，用户得以在任意时间使用任意设备从任意位置快速获取资源，然而云间的连接点尤为脆弱，攻击者可以通过攻击进入云中，并在云间实现威胁渗透。四是防火墙与 VPN 无法保证用户操作合法性。无界办公需求增多，用户接入方式复杂多样，传统的网关安全防护设备无法判断拥有账号、密码的用户身份是否合法、操作行为是否符合其身份。随着远程办公常态化，数字化工作空间规模化使用，终端和身份面临更多不可信问题：一是网络接入位置和时间多变，用户不可控性增加。外网连接占比增多，时间从集中变得分散，大量外网访问行为中可能混杂着黑客行为，仅依靠传统 VPN（Virtual Private Network，虚拟专用网络）技术难以对用户身份是否合法进行有效判断。二是使用未受管控设备办公，致使风险要素增多。过去员工主要使用企业派零信任发展研究报告（2023 年）3 发的固定设备办公，由于默认内网安全，终端管控手段较为简单。随着使用 BYOD（Bring Your Own Device，自带设备）与移动设备办公的员工逐渐增多，企业数据将与未知下载路径的私人应用共享同一空间，关键数据所有权模糊，且与企业派发设备相比，BYOD 软硬件环境的安全状态更加难以预测，传统终端管控手段难以应对。三是供应链协作触发业务流转，数据保护难度增大。随着数字化业务的开展，数据由静止转向流动，保护对象时刻更迭，其所应授予权限也处于变化状态，传统数据安全防护手段无法依据数据重要等级进行差异化防护，且各企业安全管理机制有差异，防御能力参差不齐，难以有效保护。随着数字经济走深向实，企业不断开展产品服务创新实现业务转型，企业将面临新的特性威胁：一是业务面临更多欺诈威胁。数字化转型赋能业务模式创新，新零售等新业务形式涌现，优化整合线上线下资源，数字化零售业务从线下转向线上，新零售面临大量欺诈、羊毛、作弊、盗用、虚假信息、刷单等业务安全威胁，传统安全防护手段无法有效解决。二是物联网终端安全防护能力差异大，终端设备易被入侵。物联网具备独特的组网模式，通信传输体系复杂，通信协议安全性差，且智能产品多处于网络边缘，终端安全防护能力差异较大，大量传统安全防护手段主要解决以太网安全问题，物联网终端设备易受入侵和劫持，边界安全防护无法覆盖到位。2.零信任规避传统安全机制中过度信任问题 传统安全机制失效背后的根本原因是过度信任，零信任不为任何零信任发展研究报告（2023 年）4 参与因素预置信任条件，其根本也是为了解决信任问题，通过动态的、持续的验证，判断访问主客体之间是否存在信任关系，以对主体到客体间的资源访问进行实时防护，具体表现在：一是面向资源管理而非网络。零信任将一切视为资源，任意粒度、任意位置的访问主体对资源的访问都需要进行认证和授权，企业内部资源间的互相访问也需要进行身份验证和权限判定，能够有效抵御威胁横向移动带来的安全风险。二是屏蔽安全策略预分配带来的威胁。零信任能够对物理设备、云服务、接口等所有层级的资源进行防护，在访问主体身份验证和权限判定成功后，仅为其提供满足需要的最小粒度的资源，细化安全策略至资源层面。三是资源对外隐身。利用端口隐藏等技术手段，在访问主体通过验证之前，受访资源对其隐身，大大降低了资源的可见性和攻击暴露面，减少不可控、不可见的安全威胁所带来的攻击。四是以身份为核心执行动态安全防护。零信任强调通过身份信息与多源数据对每一个访问行为进行信任评估，动态授予相应权限，能够对内部访问、远程访问和数据交互的人员、设备、环境等进行有效的安全把控，缓解凭据盗用、高风险误操作等带来的安全威胁。（二）（二）零信任为零信任为新的安全新的安全场景场景提供有力保障提供有力保障 1.零信任保障软件供应链安全 近年来，软件供应链攻击规模持续增长，调查显示3，过去三年全球软件供应链攻击的平均年增长率高达 742%。零信任的应用能够抵御上游供应商、软件开发流程和工具的安全风险，是企业软件供应 3 Sonatype8th State of the software supply chain 零信任发展研究报告（2023 年）5 链安全建设的有效举措。一是限制上游供应商权限，零信任基于最小化权限原则对供应商的访问过程进行动态授权，防止攻击者以供应商为跳板侵入企业网络环境后进行横向移动，收敛软件供应链攻击的风险范围；二是助力研发运营关键环节的风险监测与安全准入，零信任与安全左移相融合，默认第三方组件、容器镜像、代码仓库等实体不可信任，在研发运营流程中通过多层次的自动化安全检查，发现各实体的漏洞、运行时攻击等风险，保障软件供应链交界面的安全研发与交付。2.零信任抵御勒索软件攻击 当前，勒索软件攻击形势严峻，对关键信息基础设施等领域造成严重影响，据预测4，勒索软件损失到 2031 年将达到 2650 亿美元。基于零信任理念的安全防护架构可帮助企业降低勒索软件攻击风险，提升威胁进入壁垒，主要表现在以下几个方面：一是身份验证贯穿访问始终，零信任默认安全风险无处不在，不为访问主体预置信任，在访问过程中持续验证身份，加大攻击者渗透整个网络的难度；二是访问行为的持续监测，勒索软件在攻入企业内网后，会对关键数据的位置进行扫描，零信任通过对访问主体各行为进行监测，识别高危动作，及时执行访问降级或阻断；三是网络微分段精细化流量管理，攻击者可能控制某些脆弱的单点，当其通过已攻击的终端向网络内部更重要系统横向渗透，通过网络微分段将网络划分成细小的分段，阻止勒索软件在网络中进行横向移动，从而将勒索软件的影响从企业内网多台 4 世界经济论坛2022 年全球网络安全展望报告 零信任发展研究报告（2023 年）6 业务服务器和数据存储服务器降低至单一用户的电脑，将风险控制在最小限度。如 Akamai 通过收购 Guardicore 及其一流的网络微分段解决方案，以应对 Conti 的勒索威胁；四是多因子认证强度可动态变化，当访问认证通过率较高时，可以降低多因子认证强度以提升用户体验，当访问主体信誉度较低时，可提升多因子认证强度，降低组织中最主要攻击类型的脆弱性并增加潜在威胁者接管账户难度。3.零信任促进公共数据与服务安全开放 抗击新冠疫情的过程充分彰显了公共数据和服务的价值意义。为了有效应对突发事件、提升经济和社会公平性，全球多国积极推进数字公共基础设施的建设，促进公共数据和服务的开放。零信任理念能够提升数字公共基础设施的安全访问，保障公共数据和服务的价值释放。一是建立统一数字身份避免数字鸿沟，零信任为人、企业组织等实体建立唯一数字身份标识，避免实体通过多个身份账号获取额外的公共福利，如印度多个福利项目基于数字身份系统 Aadhaar 清理受益名单；同时，数字身份的发放能够打破地区局限，任何地方的任何人都可以方便获得唯一的数字身份，有效促进发展援助、国际合作等方面的发展。二是最小化动态授权避免数据和服务的滥用，零信任能够对数字公共基础设施的每一个访问进行风险评估并授予最小权限，验证访问主体是数字身份的真实持有人，同时确保数字身份的真实持有人仅能获取权益内的公共数据和服务。零信任发展研究报告（2023 年）7（三）（三）零信任相关政策与标准涌现，驱动产业规范发零信任相关政策与标准涌现，驱动产业规范发展展 零信任已经从一个新兴安全理念发展成为全球网络安全的关键技术，商业模式走向成熟，市场逐步规模化，已成为了政企数字化转型的首选安全战略。以美国为首的发达国家高度重视零信任能力建设。如表 1 所示，自 2019 年起，美国陆续发布零信任指导建议、计划等推动零信任在美落地，其他发达国家也纷纷在零信任领域展开布局，以强化网络空间话语权。2022 年 11 月 22 日，美国国防部发布了 国防部零信任战略和国防部零信任能力执行路线图，计划在 2027 年之前实施战略和相关路线图中概述的独特的零信任能力和活动。2023 年 4 月11 日，CISA（美国网络安全和基础设施安全局）发布第二版零信任成熟度模型，旨在降低美国机构实施零信任的壁垒。种种举措显示美国正加速在零信任领域的研究与应用。表 1 国外零信任相关政策 时间时间 政策发布组织政策发布组织 名称名称 侧重点侧重点 美国 2019.04 ACT-IAC（美国技术委员会-工业咨询委员会）零信任网络安全当前趋势 对政府机构采用零信任进行评估 2019.07 DIB（美国国防创新委员会）零信任安全之路 指导国防部实施零信任架构 2019.07 DISA（美国国DISA 战略计划 2019-明确 DISA 网络防御零信任发展研究报告（2023 年）8 防信息系统局）2022 战略重点为零信任 2019.10 DIB 零信任架构（ZTA）建议 建议将零信任实施列为最高优先事项 2021.02 DISA 国防部零信任参考结构1.0 建议 DoD 下一代网络安全架构基于零信任建设 2021.02 NSA（美国国家安全局）拥抱零信任安全模型 提出渐进式部署零信任方式 2021.05 美国总统拜登 14028 号行政令 发动联邦政府迁移上云使用零信任架构 2021.09 OMB（联邦政府管理和预算办公室）美国政府向零信任网络安全原则的迁移（征求意见稿）要求各机构在 2024 年前实现具体的零信任安全目标 2021.09 CISA（网络安全和基础设施安全局）零信任成熟度模型（征求意见稿）细化五个“具体的零信任安全目标”2021.09 CISA 云安全技术参考架构（征求意见稿）推荐采用零信任辅助迁移上云 2022.11 DoD（国防部）国防部零信任战略、国防部零信任能力执行路线图 概述国防部计划如何在 2027 年前在国防部范围全面实施零信任网络安全框架 2023.2 DISA 雷霆穹顶第二阶段 为机密网络开发零信任安全和网络架构计划原型 2023.4 CISA 零信任成熟度模型（第二版）降低美国机构实施零信任的壁垒 英国 2020.10 NCSC（英国国零信任架构设计原积极响应美国零信任零信任发展研究报告（2023 年）9 家网络安全中心）则 战略，为政企机构实施零信任提供参考 加拿大 2021.03 加拿大政府部门机构-共享服务部 网络与安全战略 采用零信任等新方法支撑未来网络服务 新加坡 2021.10 新加坡政府 网络安全战略 2021 要求相关机构实现从边界防护向零信任安全模式转变 来源：公开材料整理 我国加大政策保障，推动零信任落地。目前我国正在从政策、行业实践、产业发展等多个层面对零信任进行积极探索，工业和信息化部通过多种举措引导零信任发展，前期以推动零信任理论研究和技术创新为主，后期加强零信任技术应用，推动项目落地，具体表现为：一是，发布 网络安全产业高质量发展三年行动计划（2021-2023 年），重点围绕“加快开展基于开发安全运营、主动免疫、零信任等框架，推动创新技术发展与网络安全体系研发。加快发展动态边界防护技术，鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用”等内容展开。二是，多个零信任项目入选重点领域试点示范项目名单，包括“2022 年网络安全技术应用试点示范项目名单”、“2021 年大数据产业发展试点示范项目名单”等。我国已从多层级启动零信任标准研究，协助建立产业规范。为落实国家网络信息安全相关要求，我国已从多层级开展零信任标准研究。国际标准方面，由中国企业主导的 ITU-T（国际电信联盟电信标准分零信任发展研究报告（2023 年）10 局）零信任国际标准服务访问过程持续保护指南正式发布；国家标准方面，全国信息安全标准化技术委员会正在开展信息安全技术 零信任参考体系架构的编制；行业标准方面，中国通信标准化协会正在开展 面向云计算的零信任体系 第 2 部分：关键能力要求、面向云计算的零信任体系 第 6 部分：数字身份安全能力要求、面向云计算的零信任成熟度评价模型、零信任安全技术参考框架 与 网络安全产品能力评价体系 第 11 部分：基于零信任架构的业务安全平台评价方法等标准的研究工作。二、产业供应侧调研洞察：零信任能力生态逐渐成熟 零信任供应侧方面，本报告调研了近五十家国内零信任厂商，梳理零信任所涵盖的六大领域，洞察各厂商零信任安全水平概况，分析其在重点行业零信任市场近三年向好发展态势，以增强零信任产业蓬勃向好发展的信心。（一）（一）围绕围绕六大领域能力六大领域能力，建立产品体系，建立产品体系 1.零信任能力涵盖六大领域 对于网络攻击者，只需要找到整个网络防护的一个脆弱点即可攻破网络，而作为网络安全防护者，需要进行整体的防御。因此，基于零信任理念展开的安全防护不单独强调技术，而是强调解决了哪个领域的安全问题。本报告中，零信任能力涵盖六大领域，如表 2 所示：数字身份是基础组件、是核心，联合网络环境安全、终端安全、数据安全、应用工作负载安全和安全管理五个关键能力，共同赋能企业整体安全防御。零信任发展研究报告（2023 年）11 数字身份主要解决用户身份不统一，以及 IT 架构中所有对象数字身份缺失、不合法等问题。一是，对接入用户、组织架构、设备、应用赋予唯一身份标识，并对其数字身份进行全生命周期管理，完成身份的自动化管控；二是，通过持续的身份认证，确保访问主体在整个资源访问过程中身份的合法性。网络环境安全主要解决威胁的横向移动，以及传输数据被窃取等问题。一是，将资源划分到一个个微小的网络分段中，分段间通过策略隔离，阻止威胁的扩散；二是，对网络传输链路进行加密，以保证数据传输过程中的安全性。终端安全主要解决使用移动终端办公难以对设备进行管控，以及不同终端的安全基础不同易引入威胁等问题。一是，加强终端威胁检测，实现终端安全状况可感；二是，对所有连入企业网络的移动终端进行纳管，实现 BYOD 可控；三是，建立终端基线，对于不符合基线要求的终端可修复。数据安全主要解决数据资产安全防护无法差异化，以及数据在使用、传输和存储过程中意外泄露等问题。一是，通过数据分类规范化关联关系，再通过数据分级实现数据防护策略的差异化；二是，通过数据脱敏、加密、审计等技术手段降低数据泄露的可能性。应用工作负载安全主要解决两类被访问资源的安全问题，包括容器、虚拟机等基础设施资源，以及应用系统、API 等应用资源。一是，通过安全基线扫描、漏洞管理、入侵检测等技术手段，辅以计算资源纳管清单、供应商名录等管理手段对基础设施资源进行防护；二是，零信任发展研究报告（2023 年）12 在应用研发阶段引入安全检测流程、为已发布应用提供各类恶意攻击防护手段，以及持续验证应用执行的动作是否符合其权限。安全管理主要解决各安全组件无法联动处置威胁、流量不透明等问题。一是，通过编排将各安全工具的能力以某种逻辑组合在一起，联动进行威胁的检测与响应；二是，联动各安全组件并以可视化形式展示监测指标，以便快速定位威胁。表 2 零信任安全能力与子能力 能力 子能力 能力描述 身份安全 数字身份管理 对人、设备、应用、资源等所有对象赋予数字身份标识，并对数字身份信息和用户凭据进行集中管理 访问管理 提供统一集中认证、单点登录、会话管理和访问控制等能力 网络安全 安全网关 对 C/S 架构、B/S 架构等多种场景下的访问接入进行认证，并基于信任评估和权限判定结果，对认证成功的访问主体建立相应安全访问通道 网络传输安全 通过 SSL（安全套接字层）、TLS（安全传输层协议）等方式实现网络传输保密性 应用工作负载安全 云工作负载安全 保障数据中心、公有云、私有云等跨云环境中的工作负载安全，覆盖物理机、虚拟机、容器、Serverless（无服务器）等不同粒度资源 微隔离 提供工作负载及应用间的流量隔离与可视化能力，实现细粒度安全策略管理 应用安全 提供应用系统、API（应用程序接口）、SaaS（软件即服务）等应用资源的安全防护能力，包括发现、修复应用安全漏洞等 零信任发展研究报告（2023 年）13 数据安全 数据分类分级 基于合规要求与用户业务场景，对数据进行分类分级管理 数据防泄漏 检测和防止潜在的数据泄露能力 数据完整性 指数据在其生命周期内的准确性和一致性 数据加密 提供数据在存储、传输、使用时的加解密能力 数据隔离 提供安全使用数据的空间的能力 终端安全 终端安全管理 提供终端威胁检测能力，包括漏洞扫描、病毒查杀、基线检查等 终端应用安全 通过沙箱等技术实现终端 APP 安全防护 移动化管理 提供移动内容、移动设备、移动身份和移动应用安全防护能力 安全管理 运行上下文管理 获取网络、身份、设备、应用等的运行上下文，并建立用于策略评估的基线。策略分析与建模 通过规则、机器学习建模等方式，输出智能化的控制策略。安全事件分析 收集和分析网络、环境、设备和应用等的安全事件，以支持威胁检测、合规性和事件管理 自动化编排与事件响应 通过自动化编排等功能，对安全事件进行自动处置和响应 来源：中国信通院 2.零信任能力供应不断丰富 国内零信任生态蓬勃发展，零信任供应能力不断丰富，为用户在不同场景、不同需求下零信任建设提供支撑。围绕零信任能力六大方面，国内零信任产品供应呈如下特点：用户访问和工作负载访问是产品发展的两条关键路径。用户访问需要对数据中心内外的南北向流量进行访问控制，工作负载访问需要对数据中心内部的东西向流量进行访问控制，两者安全防护位置不同，零信任发展研究报告（2023 年）14 逐渐形成不同零信任产品。在本报告的调查统计中，如图 2 所示，提供用户访问（南北向流量）安全防护能力的厂商仍占多数，有 89%的零信任供应侧企业可提供 ZTNA（Zero Trust Network Access，零信任网络接入），对四层流量进行防护；在这些企业中，又有 84%的企业可提供 ZTAA（Zero Trust Application Access，零信任应用接入），可对七层流量进行防护；提供工作负载访问（东西向流量）安全防护能力的厂商较少，仅有 25%的企业可提供微隔离能力；但是这些企业中，又有 95%和 91%的企业支持以 ZTNA 和 ZTAA 形式提供南北向流量的安全防护。来源：中国信息通信研究院 2022 年 12 月 图 2 我国零信任供应侧发展路径 零信任 SaaS 在国内普及仍面临企业上云比例低等诸多挑战，但已有超七成零信任供应侧企业具备相应服务能力。与本地化部署相比，SaaS 化的零信任有四大优势：一是标准化交付，交付更加便捷，普及零信任发展研究报告（2023 年）15 性更强，适合中小型企业部署，降低用户使用门槛；二是自身维护成本低，用户无需部署、维护系统；三是可利用云网自身优势，提供安全以外的增值特性，如出海访问加速等；四是连通性强，通过云的方式提供接入点，便于对云上业务进行访问。然而，对于国内用户而言，尤其是中小企业，安全需求的刚性尚且不足，“零信任”乃至“安全”都不一定构成“买点”，零信任 SaaS 的推广更是面临了诸多挑战：一是国内大部分企业的业务部署在内网，云接入的优势变为劣势，用户从POP 点接入再访问数据中心内部业务，存在流量绕圈问题；二是 SaaS化产品很难提供业务侧的安全能力，SaaS 化产品虽然解决了云上业务的网络接入便利性问题，在网络方面提供了安全性，但实际上在安全攻防领域，安全威胁多发生在近业务侧，SaaS 化产品鞭长莫及；三是无法定制化需求，企业内部业务环境存在差异性，而 SaaS 化产品提供的标准化产品，在功能适配上难以满足用户个性化需求，尤其在国内头部企业的定制化需求较高。四是对云上数据安全性有顾虑，国内多数企业认为公有云上数据不受控难以开展安全保障。本报告对国内零信任供应侧企业的SaaS化供应能力进行调查，结果如图3所示，有 96.4%的零信任供应侧企业支持本地化部署，有 71.4%的企业支持提供零信任 SaaS 服务，即便零信任 SaaS 在国内的普及面临诸多挑战，但国内零信任厂商已有超七成在 SaaS 化上进行了投入。零信任发展研究报告（2023 年）16 来源：中国信息通信研究院 2022 年 12 月 图 3 供应侧 SaaS 化情况 本报告基于选定的六大安全能力，对国内云厂商和安全厂商供应的零信任解决方案展开调研。一方面，国内厂商注重零信任解决方案研发与落地实施，零信任生态已小有规模。目前，国内有近 50 家企业提供零信任集成产品。其中，安全厂商从自身安全专项产品优势出发，推出有技术侧重的零信任解决方案。云厂商则利用自身基础设施供应能力强且用户体量大的优势，率先进入较全面的零信任解决方案市场。其中，如图 4 所示，身份和网络环境安全能力供应能力更为成熟，70.8%的产品以身份安全作为核心能力，75%的产品以网络环境安全作为核心能力，仅有 18.7%的产品以云工作负载安全作为核心能力。另一方面，国内零信任赛道竞争激烈，各厂商都在不同领域寻求新的突破。一是在端上实现更多安全功能。越来越多的客户希望通过一个客户端解决 PC 终端安全的问题，端上安全检测能力、防泄漏、漏洞修复等备受重视。二是在端上建立可信安全环境以保护数据安全。疫情之后，远程办公需求增多，移动终端上访问企业业务数据成为刚零信任发展研究报告（2023 年）17 需，通过软件定义边界与终端沙箱相结合的方式，将零信任的能力延伸至端上成为一种新的解决方案。来源：中国信息通信研究院 2023 年 7 月 图 4 供应侧零信任能力分布 3.持续提升产品联动能力，向与现有架构融合前进 零信任与企业已有的安全防护能力应该能相互融合，企业已有的安全工具不应因零信任的使用而失效，而应该得到能力的提升。零信任控制引擎为了更精准地下发策略，应与企业环境中的身份安全类、安全分析类、终端安全类产品进行联动：来源：中国信息通信研究院 2022 年 12 月 图 5 身份安全产品联动情况 零信任发展研究报告（2023 年）18 身份安全类包含身份管理与身份认证能力，一方面，零信任从身份源同步用户身份，建立用户身份与访问过程中使用的设备、访问的资源、访问行为等之间的联系，形成用户画像；另一方面，零信任可以将身份认证与多源评估结合实现动态地认证。本报告调研了零信任供应侧企业的产品与用户环境中的身份安全产品联动能力，结果如图5 所示。超七成零信任供应侧企业支持与第三方身份安全产品对接。46.4%企业可提供自研身份安全产品，同时其零信任产品支持与第三方身份安全产品如竹云、派拉、亚信、芯盾、格尔等进行对接；有 21.4%企业不具备自研身份安全产品，但支持与第三方身份安全产品对接；有 25%企业仅支持客户使用自家提供的身份安全产品，还有 7.1%企业无法与客户环境中已有的身份安全产品进行联动。在身份安全产品展开投入的零信任供应侧企业占比超过 70%，反向说明同质化竞争激烈，并非每家都能将零信任领域做全，各家应避免同质化竞争建立技术壁垒以实现合作共赢。来源：中国信息通信研究院 2022 年 12 月 图 6 安全管理产品联动情况 零信任发展研究报告（2023 年）19 安全管理类包含安全事件和信息的汇聚、实体行为分析、威胁检测与响应等能力，一方面，通过与实体行为分析工具结合可获取更多安全风险信息，对访问主体的评估将更加准确；另一方面，零信任和威胁检测与响应工具的结合为策略执行提供了更丰富的管控手段。本报告调研了零信任供应侧企业的产品与用户环境中的安全分析产品联动能力，结果如图 6 所示。超半数企业的零信任产品支持与客户已有的安全运营中心、态势感知、威胁情报等安全分析系统联动，占比53.6%，也有 35.7%的企业仅支持与自家的安全分析系统进行联动，有 10.7%的企业尚不支持与安全分析系统联动。来源：中国信息通信研究院 2022 年 12 月 图 7 终端安全产品联动情况 终端安全类包括终端安全检测与修复、以及数据安全等能力，一方面，收集终端环境信息，并根据检测结果对终端进行管控；另一方面，通过技术手段实现数据不落地，以保护数据安全。本报告调研了零信任供应侧企业的产品与用户环境中的终端产品联动能力，结果如零信任发展研究报告（2023 年）20 图 7 所示。零信任供应侧企业在终端安全展开投入的较多，与自家产品联动率更高。尤为明显的是支持与自家终端安全产品联动的企业占比 39.3%，这一数据在身份安全领域为 25%，一方面说明终端安全的重要性，供应侧企业纷纷展开投入，另一方面说明与第三方终端安全产品的对接仍面临接口协议无法统一的困境；支持自家与第三方如腾讯、北信源、安天、奇安信、深信服、启明星辰、青藤等企业的终端安全产品进行对接的仅占比 32.1%；此外也有超七成零信任供应侧企业支持提供终端安全产品，零信任供应侧企业在终端安全的投入超过安全管理类产品与身份安全类产品，主要原因是身份认证与身份管理所使用协议具有国际、国家标准，然而终端安全领域存在标准协议缺口，有待通过生态间接口互认解决。（二）（二）行业应用不断深化，零信任市场步入成长期行业应用不断深化，零信任市场步入成长期 1.零信任在重点行业市场近三年呈持续增长态势 经过多年发展，零信任商业模式走向成熟，市场逐步规模化，已经在各个行业进入落地阶段。据中国信通院调研显示，电信行业和金融行业是被调研的 11 行业中探索零信任落地实施排名靠前的行业，其零信任实施应用相对成熟，且对其他行业的通用参考性较高。因此本报告选择金融与电信行业的零信任市场情况进行分析，相信在未来，会有更多行业客户选择零信任作为其安全防护架构。金融与电信行业在近三年落地零信任的客户逐年增长。本报告调研了 2019 年至 2022 年三年间，零信任供应侧企业服务过的金融客户数量区间，结果如图 8 所示。一方面，在金融行业，2019-2020 年间零信任发展研究报告（2023 年）21 仅有 39.2%零信任供应侧企业为金融客户落地过零信任，这一数据在2020-2021 年间与 2021-2022 年间分别达到了 60.7%与 82.1%，越来越多的金融机构认可零信任架构所提供的安全防护能力。另一方面，在电信行业，2019-2020 年间仅有 32.1%零信任供应侧企业为电信客户落地过零信任，与金融行业相比低 7.1%，这一数据在 2020-2021 年间与 2021-2022 年间分别为 67.9%与 85.7%，电信行业在近两年落地势头较猛，超过金融行业。落地 10 家以内的零信任供应侧企业占据主流，多数行业用户仍处于应用研究探索阶段。据调研，三年间落地用户数量区间 1-10 的企业分别占比金融行业为25%、35.7%和50%，电信行业为35%、42.8%和 50%。也有一些行业专精型的企业存在客户量超过 200 的情况，三年间在金融行业的占比分别为 3.5%、3.5%和 3.5%，电信行业占比分别为 0%、3.57%和 7.14%。可以看出，2020 年零信任才开始在国内安全圈中得以普及，产品经过两年的打磨，用户对这个理念有了初步了解，开始积极的在此领域展开采购。来源：中国信息通信研究院 2022 年 12 月 图 8 供应侧企业落地零信任客户数量区间 零信任发展研究报告（2023 年）22 微隔离类产品应用情况呈两极分化，与行业相关性较低。本报告调研了 2021-2022 年间，提供微隔离类产品的零信任供应侧企业所纳管用户的工作负载总数，结果如图 9 所示。在支持提供微隔离能力的企业中，金融行业纳管工作负载总数低于 500 的占比 42.8%，高于10000 的占比 42.8%，电信行业表现类似，纳管工作负载总数低于 500的占比 62.5%，高于 10000 的占比 37.5%。将近半数供应侧企业的微隔离在行业内仅开展试点工作或未曾开展，同时也有近半数企业在行业内进行了规模化的落地实践。来源：中国信息通信研究院 2022 年 12 月 图 9 微隔离类产品纳管工作负载总数 软件定义边界类产品应用潜力大，头部客户已进入探索阶段。本报告调研了 2021-2022 年间，提供软件定义边界类产品的零信任供应侧企业所纳管用户的员工总数，结果如图 10 所示。在金融与电信行业中，纳管低于 5000 人占比最高，分别为 52.2%和 61.9%，剩余半数涵盖 5000-100000 不等，再结合对零信任落地客户数量的统计结果，零信任发展研究报告（2023 年）23 即在2021-2022年间金融与电信行业均有50%零信任供应侧企业落地客户数区间为 1-10 家，推算每个客户使用基于软件定义边界纳管员工数量低于 500 人，甚至更低。500 人已属于中型企业，因此各行业内的中型企业应是落地软件定义边界类产品的中流砥柱。此外，在电信行业纳管员工 20000 人以上的占比 33.3%，金融行业仅有 17.4%，电信行业在零信任领域的投入与落地势头相较金融行业略高一筹。来源：中国信息通信研究院 2022 年 12 月 图 10 软件定义边界类产品纳管员工总数 2.不同应用场景逐步实现零信任落地 随着零信任的不断发展和成熟，企业用户基于自身业务特性和安全需求，选择在不同场景下落地实施零信任。将零信任应用于办公环境是用户主流选择。本报告调研了零信任供应侧企业服务的金融与电信行业客户应用零信任时的环境选择情况，如图 11 所示。金融行业 51%应用于办公环境，18.7%应用于开发测试环境，仅有 11.8%应用于生产环境。电信行业 48.1%应用于办公零信任发展研究报告（2023 年）24 环境，17.6%应用于生产环境，16.8%应用于开发测试环境。金融行业生产环境承担了核心账务系统的运营，数据资产安全稳定性尤为重要，在生产环境的应用更显谨慎。来源：中国信息通信研究院 2022 年 12 月 图 11 零信任应用环境情况 远程办公、远程运维、多分支机构互连为用户主要使用的场景，总占比超过半数。本报告调研了金融与电信用户落地零信任时使用的场景，分布如图