零信任的破局之路

近来，国内零信任市场迎来强劲风口：腾讯牵头发布全球首个零信任国际标准。微软发布零信任安全白皮书，英伟达推出零信任网络平台，零信任安全公司派拉软件获得数亿元融资，安几网安、持安科技等也相继完成千万元级融资。一时间，各路英雄齐聚零信任“江湖”，争相探索破局之路。

入局者正在“跑马圈地”

万物互联时代，零信任的流行很大程度上源于网络边界泛化带来的安全风险。其“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型，能够有效帮助企业在数字化转型中解决曾经难以解决的难题，也因此受到市场追捧。

从国外市场来看，在零信任市场“跑马圈地”的路径主要分为三类。谷歌是最早投入零信任安全架构研发与实践的公司，整整花了6年时间才在企业网实现了零信任落地。2020年4月，谷歌宣布完成其内部使用的远程安全访问零信任方案BeyondCorp的产品化，并在谷歌云服务上销售。业内专家指出，谷歌走的是一条典型的自用转外销的道路，通过内部项目孵化实现技术溢出价值。微软、阿卡迈（Akamai）等巨头走的也是同一条路。

思科、派拓网络、赛门铁克（Symantec）、优利系统（Unisys）等公司则是采用收购方式快速在零信任市场占领高地。以派拓网络为例，通过收购PureSec、RedLock、 Twistlock等安全公司，快速实现了从网络到云和负载的拓展，在2019年“Forrester Wave零信任报告”中成功跻身“零信任供应商领导者”行列。

此外，还有一批独角兽企业值得关注，如Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。它们以技术先进性“出圈”，颇受资本青睐，成长潜力惊人。Zscaler自2018年上市至今，市值已从70亿美元狂升至486亿美元。Okta从2017年上市到如今，股价已大涨10倍以上，市值超过330亿美元。

从国内市场来看，谷歌BeyondCorp给中国零信任市场播下了最初的种子。参照谷歌的路径，腾讯也选择了自用转外销模式，从2015年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统——腾讯ioA，通过SaaS模式和私有化部署交付。阿里云也推出办公零信任解决方案，类似谷歌的BeyondCorp简化版本。

“对于数据安全高度敏感的互联网大厂是零信任的主要推动者。数据对他们而言是影响生存的核心机密，因此他们的自身驱动力强劲，多会选择自研方式切入零信任领域。尤其在当前安全形势日益严峻、网络攻击频繁发生的情况下，互联网公司需要通过零信任来提升风控水平。”一位不愿具名的资深专家称。

传统安全厂商非常注重自身安全能力的提升与建设，零信任是大势所趋也是必然选择。奇安信副总工程师邬怡在接受《中国电子报》记者采访时表示：“奇安信的零信任策略是提供覆盖全场景的解决方案，切入领域关键、程度深入。同时，奇安信对零信任的认知更有高度，安全服务能力方面也更具优势。”据了解，奇安信是国内最早一批零信任身份安全倡导者之一，已经在超过百家部委、金融机构和大型央企进行了零信任的实践，并多次获得Forrester、Gartner等国内外知名研究机构推荐。

在追逐技术热点方面，ICT综合服务商也不甘示弱。据了解，新华三认为零信任将成为当前应对安全挑战的最佳思路，因此将其纳入安全业务一大重点。 “在零信任赛道上，新华三的差异化优势主要体现在三个方面：一是云管边端一体化协同防护理念；二是自动化响应能力；三是AI智能化控制。” 新华三安全产品线研发总裁王其勇对《中国电子报》记者介绍道。目前，新华三零信任安全解决方案已在金融、教育、政府等行业多有实践。

从技术路径来看，入局者的探索方向不尽相同。“目前国内做零信任的安全厂商有几大流派：一些公司，如奇安信、竹云是从身份认证角度切入零信任赛道；一些公司从传统远程办公，也就是VPN角度切入，如深信服推出了零信任VPN；一些公司从传统网络安全层面切入，如华为下沉到了网络层面的防护；还有一些公司从微隔离角度切入。由于是面向泛行业和多场景都适用的解决方案，零信任的市场极大，应用点有很多。” 芯盾时代研发副总裁陈曦曾表示。

零信任的三大核心技术是软件定义边界、身份权限管理、微隔离，对于在网络安全领域早有积累的厂商来说技术并非难事，落地问题才是关键。专家认为，入局者“跑马圈地”的关键在于如何突破国内市场落地场景难找准、现有安全体系改造难、持续管理难、实施效果和价值评估难、用户使用习惯改变难等瓶颈。谁先找出一条适合中国市场的商业化路径，谁就有机会掌握话语权。

零信任究竟如何实现

业界普遍认为，Forrester提出的零信任是近十年来最重要的安全创新理念。零信任的重要性被充分认知之后，Gartner提出了SASE（安全访问服务边缘）模型，Forrester提出ZTE（零信任边缘）模型。这两个模型被认为是从边缘侧实现零信任的有效途径，在业内掀起热烈讨论。

相较而言，SASE强调网络和安全紧耦合、同步走，所以要求单一提供商提供全套SASE产品；ZTE强调网络和安全解耦，零信任先行、网络重构滞后，可以多个供应商集成。专家表示：“SASE有点‘一步到位’的意思，ZTE则相当于‘渐进式改造’，最终目标都是实现边缘零信任。”

数篷科技CTO杨一飞认为，SASE的主要需求来自端到云的访问中对网络优化和安全保障能力的需求。当一个企业具备多个（跨地域）分支机构，并且拥有多个自建云和租用云时，实现多云、多业务、多地的互相访问对于网络和安全的高需求是显而易见的。

“零信任边缘将完全融合网络和安全，将零信任安全原则和软件定义网络结合成一套内聚的云交付和托管服务。虽然零信任边缘致力于解决分布式企业，但提供更快、更敏捷服务的解决方案必须建立在两个基本要素上：一是基于云的网络和安全管理；二是基于云的监控和分析。” Forrester 高级顾问谷丰对《中国电子报》记者解释道，“连接所有用户和应用程序是零信任边缘的最终状态，无论系统是在本地、在云中、在私有云中，还是在远程工作。”

有观点认为，Forrester的边缘安全推进策略，显得相当务实，也更加重视零信任。相比之下，Gartner的边缘安全推进策略，就太理想化了。但也有观点认为，无论是SASE还是ZTE，最终目的“殊途同归”，实现边缘数据安全将成为零信任相关产品的主要落地方向。

王其勇表示，SASE和ZTE应该是并存的。相较而言，中小型企业更倾向于采用SASE模型进行零信任网络安全架构建设或改造，大型企业更愿意选择ZTE模型降低原有网络安全架构的改造成本。

谁会成为网络安全的未来

自零信任大火以来，关于其是否会取代传统虚拟专用网络（VPN）成为网络安全未来的讨论声从未停歇。VPN指的是一种在公共网络上建立专用数据通道的技术，在企业网络中有广泛应用。它通过对数据包的加密和数据包目标地址的转换实现远程访问，可以简单理解成是虚拟出来的企业内部专线。相较而言，VPN侧重于解决不可信链路上的安全通信问题，而零信任架构在确保链路安全可信之余，核心解决端到端的安全防护、访问控制权限等问题。

“零信任的核心技术SDP取代VPN是一个大趋势，只是时间早晚的问题。从用户体验而言，零信任是在VPN的基础上实现以身份为中心细颗粒度的访问控制和动态授权，相当于VPN的加强版，可以将网络攻击的打击面控制在更小范围内。实际上，目前很多大型企业、运营商、传统VPN厂商等都已经在向零信任方向进行切换了。”王其勇表示。

“现阶段零信任和传统VPN并存，主要受限于机构进行零信任改造、升级的速度。”腾讯企业 IT 安全架构师蔡东赟指出，“从长远来看，零信任解决方案将会替代传统VPN的全部功能和适用场景，而部分传统VPN产品可能会根据零信任理念扩展升级成为零信任的核心组件。”根据Gartner预测，到2023年将有60%的VPN被零信任取代。

邬怡则认为：“零信任与VPN不是同一个层面的概念，不能简单的认为零信任是替换VPN的一个技术或产品。一方面，零信任仍然会使用VPN类似的加密传输技术确保数据传输安全；另一方面，在远程访问这个场景下，建议基于零信任对远程访问安全进行增强，或者说，远程访问安全方案应该基于零信任去构建，需要符合零信任原则和能力要求。”

“从远程安全访问角度看，零信任理念的产品除具备VPN能力外，还具备更为细粒度的管控能力。”IDC中国研究副总监王军民表示，“现有的零信任相关产品还无法替代site to site（端到端）方式的VPN产品，两者之间有共性也有差异，互补性的融合是未来发展的一种趋势。”