2021年数字化时代零信任安全蓝皮报告.pdf

数 字 化 时 代 零信任 安全 蓝 皮 报 告 （2021 年） 中国信息通信研究院云计算 与 大数据研究所 腾讯云计算（北京）有限公司 2021 年 5 月前 言 IT IT目 录 . 1 . 1 1. . 1 2. . 2 . 4 1. . 4 2. . 6 3. . 8 . 9 . 11 . 11 . 13 . 15 1. . 15 2. . 18 . 18 1. . 19 2. . 20 3. . 22 4. . 23 5. . 24 . 25 . 26 . 26 1. . 26 2. . 283. . 29 4. . 30 . 32 1. . 32 2. . 34 3. . 35 4. . 37 5. . 39 6. . 41 . 42 . 42 . 44 . 47 . 49 SDP . 49 . 50 SDP . 51 . 51图 目 录 1 . 4 2 . 8 3 . 10 4 . 13 5 . 25 6 . 27 7 . 28 8 . 30 9 . 31 10 . 45 11 SDP . 49 12 . 50 13 SDP . 51 14 . 52表 目 录 1 . 12 2 . 15数字化时代零信任安全蓝皮报告（2021 ） 1 一、 数字化转 型不断 深入，以 信任为 核心的安 全 理念迎来 发展机 遇 1. 数字化转型是数字 经济时代社会基座 的重要组成，国家 高度重 视 和 支 持 数字 经 济发 展 。 共性技术筑基础， 夯实数字化转型技 术支撑。 5G数字化时代零信任安全蓝皮报告（2021 年） 2 上云用数赋智，大 胆探索数字化企业 打造之路。 一 是国 家 发 展 改 革 委 、 中 央网 信 办研 究 制 定 了 关 于推 进 “ 上 云用 数 赋智 ” 行 动 培 育 新 经 济发 展 实 施方 案 ， 二是国家 发展改 革 委、 工 信部等 17 部 门联合发 起了 “数 字化转型 伙 伴行动 ” ， 三 是地 方 政府 也 不 断 加 大 对 数 字 化转 型 的政 策 支 持 ， 2. 1 96% 1 从蓝图到伟业：中国企业数字化转型的思考与行动数字化时代零信任安全蓝皮报告（2021 年） 3 营销数字化助力消 费者数据打通，致 力优质客户体验。 业务流程自动化需 求加速企业数字化 转型步伐，助力企 业实现 降本增效。 供应链数字化转型 助力上下游企业协 同发展，为企业业 务拓展 与 创 新 创 造新 环 境。数字化时代零信任安全蓝皮报告（2021 年） 4 DDoS 1 1 1. 云计算成 为 数 字 基础 设 施 重 要 支 撑 ，弱化 了 传 统 安 全 边界 防 护 能力。 一方面随 着 虚拟 化 和容器 技术的 不 断发展数字化时代零信任安全蓝皮报告（2021 年） 5 资源粒度细化， 传统网络边界消失。 1(1) 另 一 方面 ， 混合 云 模 式 的广 泛 采用 ， 弱 化 了传 统 安全 边 界 的 防 护能力， 一 是公有 云 与私有云 的交付 点 连接安全 尤为脆 弱， 1(2) 二是多云异构平台无法使用统一安全策略 ， 1(3) 应用架构随基础架 构升级不断演进， 安全边界模糊。 1(4) 互联网向网络空间 演化， 防 护 性 能 要求 更 高 。数字化时代零信任安全蓝皮报告（2021 年） 6 一 是 传 统 安全 措 施多 以 购 置 第 三方软、硬件为主， 1(5) IT 二 是无法 充 分利用数 字 基础设施 原生的 资 源和数据 优势。 IT 三 是传 统 安全 产 品 孤 立， 不 具备 协 同 工 作 能力。 1(6) 2. 数字化工作空间 提升 员 工 生 产 力 ， 资源 安 全 有 隐 患 。 IT IT 一是使用 BYOD （Bring your own device ） 办公的数 据安全 隐患。数字化时代零信任安全蓝皮报告（2021 年） 7 BYOD BYOD 二是 VDI (Virtual Desktop Infrastructure) 后 端资源 池共享的 安全隐 患。 IP 供应链协作扩大 数据 共 享 空 间 ， 跨 边界 关 键 数 据 位 置 模糊 。数字化时代零信任安全蓝皮报告（2021 年） 8 2 3. 新零售涌现，业务 威胁难以捕捉。 DDoS SQL 物联网推进产品智 能和服务变革，安 全覆盖难以到位。数字化时代零信任安全蓝皮报告（2021 年） 9 2007 2017 2018 一方 面， 物联网有 自己的 组 网方式， 使 得 网 络 异构 复 杂， 通 信 协 议安 全 性差 。 另 一 方 面， 智 能产 品 处 于 网络 边 缘， 终 端 的 安 全 防 护 能 力差 异 较大 。 DDoS IPS/IDS数字化时代零信任安全蓝皮报告（2021 年） 10 3 3 2010 Forrester 2 2011 -2017 Google Beyond Corp 3 Beyond Corp VPN 2013 CSA SDP 2017 Gartner CARTA 2018 Forrester ZTX 2 Kindervag, John. Build security into your networks dna: The zero trust network architecture. Forrester Research Inc (2010): 1-26. 3 Ward, Rory, and Betsy Beyer. Beyondcorp: A new approach to enterprise security. (2014).数字化时代零信任安全蓝皮报告（2021 年） 11 2019 Gartner SDP ZTNA 2019 -2020 NIST Zero Trust Architecture 4 1.0/2.0 二、零信 任安全 护航企业 数字化 转型 IT 默认一切参与因素 不受信 4 Rose, Scott, et al. Zero trust architecture. No. NIST Special Publication (SP) 800-207 (Draft). National Institute of Standards and Technology, 2019.数字化时代零信任安全蓝皮报告（2021 年） 12 最小权限原则 持续动态访问控制 和授权 持续安全防护 / 1 1数字化时代零信任安全蓝皮报告（2021 年） 13 基于零信任基本原 则，企业可建设或 改造已有网络安全 体系以 实现零信 任安全 架 构， 利用 零信任 安 全架构为 IT 系统 提 供持续的 安 全保障。 架构如 图 4 所示 ，由零 信任 核心逻辑 组件和 内 部或外部 数 据源组成 。 4数字化时代零信任安全蓝皮报告（2021 年） 14 策略引擎 控制引擎 安全代理 Web API数字化时代零信任安全蓝皮报告（2021 年） 15 CDM( 连 续 诊 断 和 缓 解 系 统) 行 业 合 规 系 统 威 胁 情 报 源 数 据 访 问 策 略 PKI( 企业公共 秘钥 基础设施) ID 管 理系统 网络和 系 统活动日 志 安全事件 管理系 统 1. IT 2 SaaS VPN数字化时代零信任安全蓝皮报告（2021 年） 16 迎接技术转型面临 的新安全挑战。 5G IT 一是 资 源粒 度 不 断 细化 下 的安 全 防 护 策略 变化 IT 二 是混 合 云 下 多云 连 接和 策 略 管 理挑 战 ， 三 是 分布式架构 导 致 内部 流 量 大 幅增 加数字化时代零信任安全蓝皮报告（2021 年） 17 四 是 网络空间 的高防 护 性能要求 SaaS 满足数字化空间 中用 户 更 高 的 安全 需求 。 VPN 应对产品服务创新 后的海量网络威胁 。数字化时代零信任安全蓝皮报告（2021 年） 18 2. 技术转型助力零信 任高性能发展。 制度转型 鼓励安 全 架构向零 信任变 革。数字化时代零信任安全蓝皮报告（2021 年） 19 1.数字化时代零信任安全蓝皮报告（2021 年） 20 IP 2. C/S B/S 1 Web Beyond Corp Web Web Web C/S数字化时代零信任安全蓝皮报告（2021 年） 21 Web 2 +Web SDP Web Web Web DDoS 3 C/S Web B/S VPN Web VPN WireGuard IPsec OpenVPN 4 API数字化时代零信任安全蓝皮报告（2021 年） 22 API API 3. 一方 面 可以 实 现 统 一的 安 全策 略 下 发 ， 精 细 化 网 络安 全 管理 。 另 一方 面 可 以 实现 基 于身 份 的 分 布式 防 火墙 ， 针 对 业 务访问进 行认证 。 AD IP数字化时代零信任安全蓝皮报告（2021 年） 23 4. IAM （Identity and Access Management）： IDaaS Identity as a Service IAM SaaS IAM SSO （单点登 录） ： SSO 目录服务 （如 OpenLDAP, Microsoft AD ，第三方 认证源 ）: SSO数字化时代零信任安全蓝皮报告（2021 年） 24 MFA （多因子 认证 ） MFA 5. BYOD BYOD BYOD BYOD 一是应用 安全沙 箱 ， 保障企业 应用在 BYOD 上安全运行 。 BYOD 二是 数 据不 落 地 ， 保障 特 殊工 作 信 息 安全 。数字化时代零信任安全蓝皮报告（2021 年） 25 三是 MDM （移动 设 备管理） 系 统 构 建 ，助 力 员工 开 箱 即 用。 ERP, CRM, HR, OA MDM 5 5数字化时代零信任安全蓝皮报告（2021 年） 26 三、零信 任安全 应用场景 1. 无界办公打破传统 以 物理网络为 边 界的 办 公 模 式 。 无界办公提升 便 捷性 ， 安 全 风险 随 之提 升 。 一是 接入类别 复杂 化 带来 的 安 全 风 险。 二是服务 与 提 供 服务 的 基础 设 施 二 者 之 间 关 系 的复 杂 化带 来 的 安 全风 险 。数字化时代零信任安全蓝皮报告（2021 年） 27 三是 数 据 难以 管 控 带 来 的 安 全 风 险。 6 一方面，不 再 根 据网 络 位 置 来 验 证 身份 和 提 供 权 限 ， 为所 有 访问 主 体 赋 予数 字 身份 ， 完 美 地规 避 了无 界 办 公 中 物 理 网 络 安全 边 界被 瓦 解 的 问题 。 另 一 方面 ， 零 信 任安 全 架构 强 调 按 需分 配 和最 小 权 限 原 则 。数字化时代零信任安全蓝皮报告（2021 年） 28 2. 混合云组建方式多 样化，业务灵活具 有弹性。 IT 混合云释放红 利 ，企 业 仍 踟 蹰 不 前 。 技 术堆 栈 异 构， 增 加企业 上云 后管理的 难度 。 IT 7数字化时代零信任安全蓝皮报告（2021 年） 29 一方面 ， 隐 藏 真 实业 务 。 IP DDoS 另 一 方面 ， 统一 安 全 访 问策 略 。 3. 适应企业 业务发 展， 多分支机 构成为 常 见组织形 式 。 分支机构 体量增 大 ， 专线或 公网 VPN 无法满足 当下访 问 需求。 VPN 一 方 面搭 设 专 线 价 格昂贵，数字化时代零信任安全蓝皮报告（2021 年） 30 二是连接 稳 定 性 不够 好 ， VPN VPN VPN 8 一是 服务组 件 化、SaaS 化。 SaaS 二 是组 件 高 可 用 部署， 4. 数字化转 型推进 产 业链不断 优化提 升， 企业协同 互惠成 为 趋势数字化时代零信任安全蓝皮报告（2021 年） 31 / 各企业安全体系存 在差异，第三方接 入带来安全风险。 一 是各 企 业 管理 机 制 和 能 力有 差 异， 安 全 能 力不 对 等。 二 是 接入 设 备 和 系统 的 安全 能力参 差不 齐 ， 9 一方面，限制最小 访问权限。数字化时代零信任安全蓝皮报告（2021 年） 32 另一方面， 终 端 安全 建 立 统 一 的安全基线 。 1. IT数字化时代零信任安全蓝皮报告（2021 年） 33 1) 分 支 机 构 接 入 需 求 增 多 VPN 2) 对 外 开 放 接 口 增 多 3) 远 程 办 公 需 求 增 多 IP 4) 不 具 备 精 细 化 访 问 控 制 能 力 1) 信 任 最 小 化 IP 2) 访问 权限管 控 Web数字化时代零信任安全蓝皮报告（2021 年） 34 2. PC 1) 远程办 公和 运维的 诉求 增多 ，终 端管 理困 难： 2) 职员年 轻化 对接入 体验 的要 求提 高：数字化时代零信任安全蓝皮报告（2021 年） 35 3) 面临 海量互 联网 安全威胁 ： 1) 强 化 终 端 安 全 合 规 接 入 ： Agent 2) 接 入 方 式 升 级 ， 员 工 访 问 体 验 改 善 ： OA VPN 3) 零 信 任与 安 全 运营 中 心 （SOC ）联动 ， 威 胁 发现 与 阻断 效 率 提升： SOC SOC 3.数字化时代零信任安全蓝皮报告（2021 年） 36 10 2G/3G/4G BSS3.0 1) 业务 暴露面 增加 ： VPN 2) 运维复 杂： 3) 传统 VPN 安全 性不足， 稳定性 欠 佳：VPN VPN 1) 网络隐 身、 减少暴 露面 ：数字化时代零信任安全蓝皮报告（2021 年） 37 2) 最 小 化 授 权 访 问 ， 杜 绝 越 权 访 问 ： 3) 提升效 率， 降低运 维成 本 ： VPN 4. , , ,数字化时代零信任安全蓝皮报告（2021 年） 38 1) 瘦终端 防护能 力 有限： 2) 身份/ 权限 管理困 难 ： 3) 安全产 品/ 理念相 互割裂 ： 1) 有效的 终端设 备 安全防护： 2) 统一的 身份和 权 限管理：数字化时代零信任安全蓝皮报告（2021 年） 39 3) 安全产 品共享 与 协同： 5. 1) 物联 网终端 设备 网络异构 ： / 2) 身份和 授权管 理 复杂： ID数字化时代零信任安全蓝皮报告（2021 年） 40 ID ID ID ID ID 3) 缺少统 一处理 模 型实现原 生安全 ： 1) 物联网 安全代 理 实现终端 接入安 全 ： 2) 统 一 身 份 和 动 态 授 权 管 理 ： 3) 安全与 业务解 耦 ， 降低业务 安全防 护设计要 求：数字化时代零信任安全蓝皮报告（2021 年） 41 ACL 6. 1) 人员 安全意 识与 终端安全 水平参 差 不齐： IT 2) 数 据 泄 漏 防 范 困 难 ： VPN VPN数字化时代零信任安全蓝皮报告（2021 年） 42 1) 多 数 据 源 信 任 评 估 ， 提 升 人 员 安 全 意 识 和 终 端 安 全 水 平 ： 2) 持 续 动 态 认 证 和 权 限 评 估 ， 及 时 发 现 数 据 泄 露 事 件 ： 四、零信 任安全 趋势 5G 国家层面，以 政 策推 动 零 信 任 技 术 研究 与 应 用 。数字化时代零信任安全蓝皮报告（2021 年） 43 2020 产业层面, 零 信任产 品生态丰 富 提升应 用 效能 。 企业层面 ， 有序 推 进零信任 逐步实 施 。 IDC 5 IaaS/PaaS/SaaS 2022 VPN 5 Worldwide Future of Trust 2021 Predictions数字化时代零信任安全蓝皮报告（2021 年） 44 IT 全因子 信 任指 IT IT 全因 子信任 安 全架构 IT数字化时代零信任安全蓝皮报告（2021 年） 45 安全产品原生化。 部 署 应用 更 加 便 捷高 效 SaaS 与 IT 架构 深度融合 IT IT IT IT 开 放协同 全因子信 任安全 架 构如图 10 所 示， 架 构由因子 和多个 逻 辑组件 构 成 ， 在 实际 应 用中 ， 每 个 逻辑 组 件可 以 由 一 个或 多 个实 体 组 件 组 成，同时 ，不同 逻 辑组件也 可能由 一 个实体组 件实现 。 10数字化时代零信任安全蓝皮报告（2021 年） 46 全因子信任资源 全因子信任访问主 体 一是 具 备 发 起 动态 因 子能 力 的 企 业内 部 资源 二 是非 企 业内 部 资 源 全因子信 任策略 引 擎 全因子信 任控制 引 擎 全因子信任安全代 理 全因子信 任安全 中 心 IT 一是 确 保静态数字化时代零信任安全蓝皮报告（2021 年） 47 因 子 处 于 安全 状 态 二是与 全 因 子 信 任策 略 引擎 协 同 网络 安 全子 组 件 数 据 安 全 子 组件 应用 安 全 子 组件 身份 安 全 子 组件 工作 负 载 安 全 子组件 终端安 全 子组件 安全管 理 子组件 SASE(Secure Access Service Edge, 安全 访问服务 边缘) 将 零 信任 与 SD-WAN(Software Defined Wide Area Network, 软件定 义 广域网) 融 合 ，是 未来 企 业实 现 网络 边缘 安 全接 入 的主 要选 择 。 Gartner 6 SASE SASE 企业利用 SASE 实现 6 Top 9 Security and Risk Trends for 2020数字化时代零信任安全蓝皮报告（2021 年） 48 信任接入 能解决 总 部/ 分 支机构 协同办 公、 远 程办公 无感 接入， 以及 SD-WAN 安全场景。 SASE 为企业提供端 到端安全。 SASE 一是 SASE 具 备 全 球 网 络 连 接 能 力 。SASE SD-WAN SD-WAN SD-WAN 二是 SASE 使用云原 生架构不 依赖任 何 硬件设备 。SASE PoP 三是 SASE 具 备 分 布 式 的安 全 能力 。 SASE PoP数字化时代零信任安全蓝皮报告（2021 年） 49 附录：行 业 用户 案例 SDP IDC IDC 11 SDP SDP SDP SDP SDP数字化时代零信任安全蓝皮报告（2021 年） 50 OA 12 IAM MFA token OA SSO soc soc数字化时代零信任安全蓝皮报告（2021 年） 51 VPN SDP Web App API 13 SDP SDP SDP SSO 802.1x数字化时代零信任安全蓝皮报告（2021 年） 52 VPN 14 osquery数字化时代零信任安全蓝皮报告（2021 ） 1 中 国 信 息 通 信 研究 院 云计 算 与 大数 据 研 究 所 52 100191 010-62304134