数字化时代 零信任安全蓝皮报告 （2021 年） 中国信息通信研究院云计算与大数据研究所 腾讯云计算（北京）有限公司 2021 年 5 月 版权声明 本报告版权属于中国信息通信研究院云计算与大数据 研究所和腾讯云计算（北京）有限公司共同所有，并受法 律保护。转载、摘编或利用其它方式使用本报告文字或者 观点的，应注明来源。违反上述声明者，中国信息通信研 究院云计算与大数据研究所和腾讯云计算（北京）有限公 司将追究其相关法律责任。 前 言 近年来，云计算、大数据等新一代信息技术与实体经济加速融 合，产业数字化转型迎来发展新的浪潮。数字化在为企业提质降本 增效的同时，也为企业 IT 架构带来新的安全挑战，传统安全防护机 制遭遇瓶颈，探索适应企业数字化转型需求的新一代安全体系具有 重要意义。 零信任安全理念及架构能够有效应对企业数字化转型过程中的 安全痛点，愈发得到行业关注。本蓝皮报告从基本原则、核心组件、 关键技术等方面阐明零信任安全理念及架构内涵，分析零信任安全 如何解决企业级用户数字化转型中的安全痛点；继而，围绕无界办 公、混合云、企业异地分支接入和第三方接入多个通用场景，以及 银行、通信等重点行业场景，探究零信任安全作用和优势；最后， 分析了未来零信任的发展趋势。 本蓝皮报告的核心观点与重要发现包括： ➢ 数字化转型浪潮下，企业传统安全架构面临挑战。一是上云、 应用架构升级等技术转型带来新的安全风险；二是工作空间 和供应链协同的数字化引入更多的安全隐患；三是新零售、 物联网等产品服务创新面临多样的安全威胁。 ➢ 零信任安全理念打破了网络位置和信任间的默认关系，能够 最大限度保证资源被可信访问，提升企业数字化转型中新 IT 架构的安全性，基本原则包括：默认一切参与因素不受信， 最小权限原则，动态访问控制和授权，持续的安全防护。 ➢ 零信任安全架构核心包括控制和数据两大平面，以及策略引 擎、控制引擎和安全代理三大逻辑组件。控制平面和数据平 面将策略与资源访问时的数据交互进行分离；策略引擎、控 制引擎和安全代理逻辑组件协作，实现资源访问的信任评估 和权限授予，控制访问主体和被访问资源间的连接建立与否。 ➢ 零信任安全和企业数字化转型相互促进，协同发展。一是零 信任安全能够解决企业级用户数字化转型的安全痛点，迎接 技术转型中的新安全挑战，满足数字化工作空间中用户更高 的体验需求，应对产品服务创新后的海量网络威胁；二是数 字化转型为零信任安全应用落地提供支撑，技术转型通过提 供资源支持助力零信任高性能发展，制度转型鼓励安全架构 向零信任变革。 ➢ 零信任安全能够满足企业一些通用场景的安全需要，包括无 界办公、混合云、企业异地分支接入、第三方接入等。同时， 零信任安全还可以满足不同行业的特殊安全需求，如银行、 互联网、通信、物流、能源、地产等行业。 ➢ 零信任未来发展趋势，一是应用不断成熟，成为安全体系升 级的重要选择；二是与原生安全理念相融，助力企业建设高 防护性能、组件协同连通的全因子信任安全架构；三是与广 域网络融合，为企业提供端到端安全。 目 录 一、数字化转型不断深入，以信任为核心的安全理念迎来发展机遇.................... 1 （一）外力与内需共同推进企业数字化转型 ........................................................ 1 1. 国家政策为企业数字化转型创造良好环境.................................................. 1 2. 用户需求升级驱动企业加速数字化转型...................................................... 2 （二）企业数字化转型对传统安全架构带来挑战 ................................................ 4 1. 技术转型面临安全挑战，传统安全架构有局限.......................................... 4 2. 数字化空间扩展引入新风险，传统安全架构难招架.................................. 6 3. 产品服务创新带来特性威胁，传统安全难以覆盖...................................... 8 （三）以信任为核心的安全理念兴起，弥补传统安全机制缺陷 ........................ 9 二、零信任安全护航企业数字化转型...................................................................... 11 （一）零信任安全理念：永不信任，持续验证 .................................................. 11 （二）基于零信任安全理念的逻辑架构 .............................................................. 13 （三）零信任安全与企业数字化转型相互促进与协同发展 .............................. 15 1. 零信任安全解决企业级用户数字化转型安全痛点.................................... 15 2. 数字化转型为零信任安全应用落地提供支撑............................................ 18 （四）关键技术助力零信任安全架构落地应用 .................................................. 18 1. 多源数据信任评估技术实现更可靠的用户授权........................................ 19 2. 安全代理关键技术完成访问行为的统一管控............................................ 20 3. 网络隔离关键技术保障东西向流量安全.................................................... 22 4. 身份安全关键技术支持高效用户管理........................................................ 23 5. 终端安全关键技术为多样化终端提供全方位防护.................................... 24 （五）国内零信任发展势头良好，解决方案纷纷落地实施 .............................. 25 三、零信任安全应用场景.......................................................................................... 26 （一）通用应用场景 .............................................................................................. 26 1. 零信任促进无界办公安全便捷.................................................................... 26 2. 混合云推动零信任价值进一步发挥............................................................ 28 3. 零信任保障企业分支机构安全接入............................................................ 29 4. 第三方协作为零信任发展提供机遇............................................................ 30 （二）重点行业应用场景 ...................................................................................... 32 1. 零信任迎接银行业金融服务创新中的安全挑战........................................ 32 2. 零信任适应互联网业快速发展与迭代需求................................................ 34 3. 零信任缓解通信业管理模式痛点................................................................ 35 4. 零信任推动物流业数字化赋能安全发展.................................................... 37 5. 零信任助力能源业应对数字化转型安全风险............................................ 39 6. 零信任为地产业探寻第二增长曲线安全护航............................................ 41 四、零信任安全趋势.................................................................................................. 42 （一）零信任应用不断成熟，成为安全体系升级的重要选择 .......................... 42 （二）零信任与原生安全理念融合，助力企业构建全因子信任安全架构 ...... 44 （三）广域网络与零信任结合，实现企业网络边缘安全接入 .......................... 47 附录：行业用户案例.................................................................................................. 49 （一）某金融机构基于零信任的 SDP 解决方案 ................................................. 49 （二）某互联网游戏公司零信任解决方案 .........................................