近來(lái)，國(guó)內(nèi)零信任市場(chǎng)迎來(lái)強(qiáng)勁風(fēng)口。騰訊牽頭發(fā)布全球首個(gè)零信任國(guó)際標(biāo)準(zhǔn)，微軟發(fā)布零信任安全白皮書(shū)，英偉達(dá)推出零信任網(wǎng)絡(luò)平臺(tái)，零信任安全公司派拉軟件獲得數(shù)億元融資，安幾網(wǎng)安、持安科技等也相繼完成千萬(wàn)元級(jí)融資……一時(shí)間，各路英雄齊聚零信任江湖，爭(zhēng)相探索破局之路。

全球入局者正在“跑馬圈地”

萬(wàn)物互聯(lián)時(shí)代，零信任的流行很大程度上源于網(wǎng)絡(luò)邊界泛化帶來(lái)的安全風(fēng)險(xiǎn)。其“持續(xù)驗(yàn)證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型，能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決曾經(jīng)難以解決的難題，也因此受到市場(chǎng)追捧。

從國(guó)外市場(chǎng)來(lái)看，在零信任市場(chǎng)“跑馬圈地”的路徑主要分為三類(lèi)。谷歌是最早投入零信任安全架構(gòu)研發(fā)與實(shí)踐的公司，整整花了6年時(shí)間才在企業(yè)網(wǎng)實(shí)現(xiàn)了零信任落地。2020年4月，谷歌宣布完成其內(nèi)部使用的遠(yuǎn)程安全訪(fǎng)問(wèn)零信任方案BeyondCorp的產(chǎn)品化，并在谷歌云服務(wù)上發(fā)布銷(xiāo)售。業(yè)內(nèi)專(zhuān)家指出，谷歌走的是一條典型的自用轉(zhuǎn)外銷(xiāo)的道路，通過(guò)內(nèi)部項(xiàng)目孵化實(shí)現(xiàn)技術(shù)溢出價(jià)值。微軟、阿卡邁（Akamai）等巨頭也走的是同一條路。

思科、派拓網(wǎng)絡(luò)、賽門(mén)鐵克（Symantec）、優(yōu)利系統(tǒng)（Unisys）等公司則是采用收購(gòu)方式快速在零信任市場(chǎng)占領(lǐng)高地。以派拓網(wǎng)絡(luò)為例，其通過(guò)收購(gòu)PureSec、RedLock、Twistlock等安全公司，快速實(shí)現(xiàn)了從網(wǎng)絡(luò)到云和負(fù)載的拓展，在2019年“Forrester Wave零信任報(bào)告”中成功躋身“零信任供應(yīng)商領(lǐng)導(dǎo)者”名單。

此外，還有一批獨(dú)角獸企業(yè)值得關(guān)注，如Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。它們以技術(shù)先進(jìn)性“出圈”，頗受資本青睞，成長(zhǎng)潛力驚人。Zscaler自2018年上市至今，市值已從70億美元狂升至486億美元。Okta從2017年上市到如今，股價(jià)已大漲十倍以上，市值超過(guò)330億美元。

國(guó)內(nèi)大廠(chǎng)領(lǐng)銜流派分明

從國(guó)內(nèi)市場(chǎng)來(lái)看，谷歌BeyondCorp給中國(guó)零信任市場(chǎng)播下了最初的種子。參照谷歌的路徑，騰訊也選擇了自用轉(zhuǎn)外銷(xiāo)，從2015年開(kāi)始自主設(shè)計(jì)、研發(fā)并在內(nèi)部實(shí)踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA，通過(guò)SaaS模式和私有化部署交付。阿里云也推出辦公零信任解決方案，類(lèi)似谷歌的BeyondCorp簡(jiǎn)化版本。

“對(duì)于數(shù)據(jù)安全高度敏感的互聯(lián)網(wǎng)大廠(chǎng)是零信任的主要推動(dòng)者。數(shù)據(jù)對(duì)他們而言是影響生存的核心機(jī)密，因此他們的自身驅(qū)動(dòng)力強(qiáng)勁，多會(huì)選擇自研方式切入零信任領(lǐng)域。尤其在當(dāng)前安全形勢(shì)日益嚴(yán)峻、網(wǎng)絡(luò)攻擊頻繁發(fā)生的情況下，互聯(lián)網(wǎng)公司需要通過(guò)零信任來(lái)提升風(fēng)控水平。”一位不愿具名的資深專(zhuān)家稱(chēng)。

傳統(tǒng)安全廠(chǎng)商非常注重自身安全能力的提升與建設(shè)，零信任是大勢(shì)所趨也是必然選擇。奇安信副總工程師鄔怡在接受《中國(guó)電子報(bào)》記者采訪(fǎng)時(shí)表示：“奇安信的零信任策略是提供覆蓋全場(chǎng)景的解決方案，切入領(lǐng)域關(guān)鍵、程度深入。同時(shí)，奇安信對(duì)零信任的認(rèn)知更有高度，安全服務(wù)能力方面也更具優(yōu)勢(shì)。”據(jù)了解，奇安信是國(guó)內(nèi)最早一批零信任身份安全倡導(dǎo)者之一，已經(jīng)在超過(guò)百家部委、金融機(jī)構(gòu)和大型央企進(jìn)行了零信任的實(shí)踐，并多次獲得Forrester、Gartner等國(guó)內(nèi)外知名研究機(jī)構(gòu)推薦。

在捕捉“技術(shù)熱點(diǎn)”方面，ICT綜合服務(wù)商也不甘示弱。據(jù)了解，新華三認(rèn)為零信任將成為當(dāng)前應(yīng)對(duì)安全挑戰(zhàn)的最佳思路，因此將其納入安全業(yè)務(wù)一大重點(diǎn)。 “在零信任賽道上，新華三的差異化優(yōu)勢(shì)主要體現(xiàn)在三個(gè)方面：一是云管邊端一體化協(xié)同防護(hù)理念；二是自動(dòng)化響應(yīng)能力；三是AI智能化控制。” 新華三安全產(chǎn)品線(xiàn)研發(fā)總裁王其勇對(duì)《中國(guó)電子報(bào)》記者介紹道。目前，新華三零信任安全解決方案已在金融、教育、政府等行業(yè)多有實(shí)踐。

從技術(shù)路徑來(lái)看，入局者的探索方向不盡相同。“目前國(guó)內(nèi)做零信任的安全廠(chǎng)商有幾大流派：一些公司，如奇安信、竹云是從身份認(rèn)證角度切入零信任賽道；一些公司從傳統(tǒng)遠(yuǎn)程辦公，也就是虛擬專(zhuān)用網(wǎng)絡(luò)角度切入，如深信服推出了零信任虛擬專(zhuān)用網(wǎng)絡(luò)；一些公司從傳統(tǒng)網(wǎng)絡(luò)安全層面切入，如華為下沉到了網(wǎng)絡(luò)層面的防護(hù)；還有一些公司從微隔離角度切入。由于是面向泛行業(yè)和多場(chǎng)景都適用的解決方案，零信任的市場(chǎng)極大，應(yīng)用點(diǎn)有很多。” 芯盾時(shí)代研發(fā)副總裁陳曦曾表示。

零信任的三大核心技術(shù)是軟件定義邊界、身份權(quán)限管理、微隔離，對(duì)于在網(wǎng)絡(luò)安全領(lǐng)域早有積累的廠(chǎng)商來(lái)說(shuō)技術(shù)并非難事，落地問(wèn)題才是關(guān)鍵。專(zhuān)家認(rèn)為，入局者“跑馬圈地”的關(guān)鍵在于如何突破國(guó)內(nèi)市場(chǎng)落地場(chǎng)景難找準(zhǔn)、現(xiàn)有安全體系改造難、持續(xù)管理難、實(shí)施效果和價(jià)值評(píng)估難、用戶(hù)使用習(xí)慣改變難等瓶頸。“誰(shuí)先找出一條適合中國(guó)市場(chǎng)的商業(yè)化路徑，誰(shuí)就有機(jī)會(huì)掌握話(huà)語(yǔ)權(quán)。”

SASE或ZTE孰為實(shí)現(xiàn)路徑？

業(yè)界普遍認(rèn)為，F(xiàn)orrester提出的零信任是近十年來(lái)最重要的安全創(chuàng)新理念。零信任的重要性被充分認(rèn)知之后，Gartner提出了SASE（安全訪(fǎng)問(wèn)服務(wù)邊緣）模型，而緊接著Forrester提出ZTE（零信任邊緣）模型。這兩個(gè)模型被認(rèn)為是從邊緣側(cè)實(shí)現(xiàn)零信任的有效途徑，在業(yè)內(nèi)掀起熱烈討論。相較而言，SASE強(qiáng)調(diào)網(wǎng)絡(luò)和安全緊耦合，所以要求單一提供商提供全套SASE產(chǎn)品；ZTE強(qiáng)調(diào)網(wǎng)絡(luò)和安全解耦，認(rèn)為可以多個(gè)供應(yīng)商集成。實(shí)施路線(xiàn)方面，SASE強(qiáng)調(diào)網(wǎng)絡(luò)和安全同步走；ZTE強(qiáng)調(diào)零信任先行，網(wǎng)絡(luò)重構(gòu)滯后。

數(shù)篷科技CTO楊一飛認(rèn)為，SASE的主要需求來(lái)自端到云的訪(fǎng)問(wèn)中對(duì)網(wǎng)絡(luò)優(yōu)化和安全保障能力的需求。當(dāng)一個(gè)企業(yè)具備多個(gè)（跨地域）分支機(jī)構(gòu)，并且擁有多個(gè)自建云和租用云時(shí)，實(shí)現(xiàn)多云、多業(yè)務(wù)、多地的互相訪(fǎng)問(wèn)對(duì)于網(wǎng)絡(luò)和安全的高需求是顯而易見(jiàn)的。

“零信任邊緣將完全融合網(wǎng)絡(luò)和安全，將零信任安全原則和軟件定義網(wǎng)絡(luò)結(jié)合成一套內(nèi)聚的云交付和托管服務(wù)。雖然零信任邊緣致力于解決分布式企業(yè)，但提供更快、更敏捷的服務(wù)的解決方案必須建立在兩個(gè)基本要素上：一是基于云的網(wǎng)絡(luò)和安全管理；二是基于云的監(jiān)控和分析。” Forrester 高級(jí)顧問(wèn)谷豐對(duì)《中國(guó)電子報(bào)》記者解釋道，“連接所有用戶(hù)和應(yīng)用程序是零信任邊緣的最終狀態(tài)，無(wú)論系統(tǒng)是在本地、在云中、在私有云中，還是在遠(yuǎn)程工作。”

有觀點(diǎn)認(rèn)為，F(xiàn)orrester的邊緣安全推進(jìn)策略，顯得相當(dāng)務(wù)實(shí)，也更加重視零信任。相比之下，Gartner的邊緣安全推進(jìn)策略，就太理想化了。但也有觀點(diǎn)認(rèn)為，無(wú)論是SASE還是ZTE，最終目的“殊途同歸”，實(shí)現(xiàn)邊緣數(shù)據(jù)安全將成為零信任相關(guān)產(chǎn)品的主要落地方向。

王其勇表示，SASE和ZTE應(yīng)該是并存的。相較而言，中小型企業(yè)更傾向于采用SASE模型進(jìn)行零信任網(wǎng)絡(luò)安全架構(gòu)建設(shè)或改造，大型企業(yè)更愿意選擇ZTE模型降低原有網(wǎng)絡(luò)安全架構(gòu)的改造成本。

取代虛擬專(zhuān)用網(wǎng)絡(luò)成為網(wǎng)絡(luò)安全未來(lái)？

自零信任大火以來(lái)，關(guān)于其是否會(huì)取代傳統(tǒng)虛擬專(zhuān)用網(wǎng)絡(luò)成為網(wǎng)絡(luò)安全未來(lái)的討論聲從未停歇。虛擬專(zhuān)用網(wǎng)絡(luò)指的是一種在公共網(wǎng)絡(luò)上建立專(zhuān)用數(shù)據(jù)通道的技術(shù)，在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。它通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)，可以簡(jiǎn)單理解成是虛擬出來(lái)的企業(yè)內(nèi)部專(zhuān)線(xiàn)。相較而言，虛擬專(zhuān)用網(wǎng)絡(luò)側(cè)重于解決不可信鏈路上的安全通信問(wèn)題，而零信任架構(gòu)在確保鏈路安全可信之余，核心解決端到端的安全防護(hù)、訪(fǎng)問(wèn)控制權(quán)限等問(wèn)題。

“我們認(rèn)為零信任核心技術(shù)SDP取代虛擬專(zhuān)用網(wǎng)絡(luò)是一個(gè)大趨勢(shì)，只是時(shí)間早晚的問(wèn)題。從用戶(hù)體驗(yàn)而言，零信任是在虛擬專(zhuān)用網(wǎng)絡(luò)的基礎(chǔ)上實(shí)現(xiàn)以身份為中心細(xì)顆粒度的訪(fǎng)問(wèn)控制和動(dòng)態(tài)授權(quán)，相當(dāng)于虛擬專(zhuān)用網(wǎng)絡(luò)的加強(qiáng)版，可以將網(wǎng)絡(luò)攻擊的打擊面控制在更小范圍內(nèi)。實(shí)際上，目前很多大型企業(yè)、運(yùn)營(yíng)商、傳統(tǒng)虛擬專(zhuān)用網(wǎng)絡(luò)廠(chǎng)商等都已經(jīng)在向零信任方向進(jìn)行切換了。” 王其勇表示。

“現(xiàn)階段零信任和傳統(tǒng)虛擬專(zhuān)用網(wǎng)絡(luò)并存，主要受限于機(jī)構(gòu)進(jìn)行零信任改造、升級(jí)的速度。”騰訊企業(yè) IT 安全架構(gòu)師蔡?hào)|赟指出，“從長(zhǎng)遠(yuǎn)來(lái)看，零信任解決方案將會(huì)替代傳統(tǒng)虛擬專(zhuān)用網(wǎng)絡(luò)的全部功能和適用場(chǎng)景，而部分傳統(tǒng)虛擬專(zhuān)用網(wǎng)絡(luò)產(chǎn)品可能會(huì)根據(jù)零信任理念擴(kuò)展升級(jí)成為零信任的核心組件。”根據(jù)Gartner預(yù)測(cè)，到2023年將有60%的虛擬專(zhuān)用網(wǎng)絡(luò)被零信任取代。

鄔怡則認(rèn)為，零信任與虛擬專(zhuān)用網(wǎng)絡(luò)不是同一個(gè)層面的概念，不能簡(jiǎn)單地認(rèn)為零信任是替換虛擬專(zhuān)用網(wǎng)絡(luò)的一個(gè)技術(shù)或產(chǎn)品。“一方面，零信任仍然會(huì)使用虛擬專(zhuān)用網(wǎng)絡(luò)類(lèi)似的加密傳輸技術(shù)確保數(shù)據(jù)傳輸安全；另一方面，在遠(yuǎn)程訪(fǎng)問(wèn)這個(gè)場(chǎng)景下，建議基于零信任對(duì)遠(yuǎn)程訪(fǎng)問(wèn)安全進(jìn)行增強(qiáng)，或者說(shuō)，遠(yuǎn)程訪(fǎng)問(wèn)安全方案應(yīng)該基于零信任去構(gòu)建，需要符合零信任原則和能力要求。”他說(shuō)。

“從遠(yuǎn)程安全訪(fǎng)問(wèn)角度看，零信任理念的產(chǎn)品除具備虛擬專(zhuān)用網(wǎng)絡(luò)能力外，還具備更為細(xì)粒度的管控能力。”IDC中國(guó)研究副總監(jiān)王軍民表示，“現(xiàn)有的零信任相關(guān)產(chǎn)品還無(wú)法替代site to site（端到端）方式的虛擬專(zhuān)用網(wǎng)絡(luò)產(chǎn)品，兩者之間有共性也有差異，互補(bǔ)性的融合是未來(lái)發(fā)展的一種趨勢(shì)。”