近年來，隨著遠程辦公、業(yè)務協(xié)同、分支互聯(lián)等業(yè)務需求快速發(fā)展，企業(yè)原有的網(wǎng)絡邊界逐漸泛化，導致基于邊界的傳統(tǒng)安全架構(gòu)不再可靠，零信任市場迎來了風口。

“零信任”作為近年來網(wǎng)絡安全領(lǐng)域又一爆火的概念，既不是產(chǎn)品也不是一種技術(shù)，而是一種“持續(xù)驗證，永不信任”的安全理念。卻吸引了騰訊、阿里、華為等大廠，深信服、奇安信、綠盟科技等安全廠商紛紛布局。

零信任的三大核心技術(shù)是軟件定義邊界（SDP）、身份權(quán)限管理（IAM）、微隔離（MSG），對于在網(wǎng)絡安全領(lǐng)域早有積累的廠商來說技術(shù)并非難事，落地問題才是關(guān)鍵。國內(nèi)市場落地場景難找準、現(xiàn)有安全體系改造難、持續(xù)管理難、實施效果和價值評估難、用戶使用習慣改變難等瓶頸，是零信任廠商需要突破的問題。

今年5月，騰訊iOA零信任解決方案已經(jīng)突破了100萬終端的部署，是國內(nèi)首個突破百萬終端的零信任產(chǎn)品。那么騰訊為什么能抓住如此多的用戶？雷峰網(wǎng)與騰訊零信任產(chǎn)品總經(jīng)理楊育斌和高燈科技副總裁兼安全負責人莫曉盛展開了深入交流。

瞄準需求

“零信任”這一理念最早是在美國提出的，2011年谷歌內(nèi)部開始實施零信任，整整花了6年時間才在企業(yè)網(wǎng)實現(xiàn)了零信任落地。

由于國內(nèi)外不同的市場環(huán)境，“零信任”在美國發(fā)展迅速，根據(jù)Cybersecurity Insider的調(diào)查，15%的受訪IT團隊已經(jīng)實施零信任SaaS，44%表示準備部署。但是在國內(nèi)，這一概念接受程度并不高，交付模式也是以解決方案為主。因此落地還需要結(jié)合國內(nèi)的特殊環(huán)境和場景。

就中美在零信任架構(gòu)體系應用之間的差異性，楊育斌認為，目前就技術(shù)底層邏輯以及技術(shù)應用點來講，已經(jīng)沒有太大的差距；唯一的區(qū)別是使用場景，區(qū)別于美國的云服務模式，中國的實際應用情況可能更復雜，因為傳統(tǒng)行業(yè)的服務、業(yè)務資源，都是放在企業(yè)自身的網(wǎng)絡里面，所以需要打破網(wǎng)絡邊界做一些應用安全的保障。在落地過程中也需要去做很多的思考和變通。但是從某種程度上講，我們的技術(shù)應用要走在美國的前面，比如，身份認證在中國反而更接地氣。

楊育斌表示：“ 零信任區(qū)別于傳統(tǒng)的預設訪問黑白名單，零信任就是永不信任。簡單來說就是，持續(xù)驗證，最小化授權(quán)，解決從訪問人的身份、終端、連接的全鏈路的安全。”

近兩年由于疫情的助推，以及企業(yè)的信息化程度、移動化程度不斷提高，隨時隨地處理企業(yè)內(nèi)部業(yè)務系統(tǒng)變得越來越普遍。人員身份校驗和設備安全可信等需求也變得更加迫切。

楊育斌從三個方面總結(jié)了用戶對于“零信任”的需求：

首先，傳統(tǒng)的安全架構(gòu)是層層設防，不斷的堆設備，只適合聚集類的固定場所的辦公場景。而零信任解決方案對所有訪問采取“從不信任，持續(xù)驗證”，適應了當下遠程辦公和混合辦公的需求。

其次，隨著企業(yè)業(yè)務邊界的拓展，許多客戶的業(yè)務已經(jīng)往云上遷移，在多云的環(huán)境下，對于業(yè)務的協(xié)作、運維以及安全的管理的訴求，使得零信任可以更好的應用。

最后，在當前各種物聯(lián)網(wǎng)場景，進行通信交換加解密時，零信任可以更好的契合該場景。

據(jù)介紹，目前互聯(lián)網(wǎng)企業(yè)業(yè)務系統(tǒng)不復雜，能夠更加快速的應用起來，接受程度更高，更容易改造落地；而醫(yī)療行業(yè)、運營商以及大學等也在近兩年落地非常迅速。除此之外，還有一些頭部的央國企、金融機構(gòu)還有政府目前也慢慢應用“零信任”替代傳統(tǒng)的解決方案。

騰訊為疫情期間遠程辦公的企業(yè)，提供基于云的零信任接入訪問，在部署周期上可以達到小時級、天級就可以完成接入部署，實現(xiàn)遠程辦公應用。

楊育斌告訴雷峰網(wǎng)，“零信任在落地過程中，要根據(jù)不同行業(yè)的情況和應用場景，去做相應的調(diào)整，復雜度不同相應部署時間也會不同。”比如政府、金融企業(yè)或者大型企業(yè)有數(shù)據(jù)合規(guī)審計、數(shù)據(jù)合規(guī)安全策略的要求，整個解決方案就需要從頭到尾進行全面的設計和分期建設，落地過程會持續(xù)幾個月甚至一年。

隨著基于零信任的需求場景不斷擴大，未來零信任將會有更多的場景進行實踐，零信任落地難也將成為過去式。

零信任落地的關(guān)鍵

在企業(yè)安全建設的過程中，大多數(shù)企業(yè)不會選擇單一廠商解決整個辦公網(wǎng)的安全問題，同時大多數(shù)客戶當前網(wǎng)絡中已經(jīng)購買并部署了多家廠商的安全產(chǎn)品，那么在建設零信任平臺如何節(jié)約建設成本，以及多廠商產(chǎn)品之間如何集成對接是當前和未來的關(guān)鍵挑戰(zhàn)。

高燈科技是騰訊iOA零信任解決方案第一百萬終端客戶，成立于2017年，是一家以發(fā)票數(shù)字化為基礎，為企業(yè)和監(jiān)管提供財稅合規(guī)及交易合規(guī)管理平臺的財稅科技公司。

談及決定部署iOA零信任解決方案的原因，莫曉盛表示：“一個是外因，疫情影響遠程辦公需求猛增；另一個是內(nèi)需，經(jīng)過五年的發(fā)展，高燈科技已經(jīng)從最初的幾十人擴張到了目前將近千人的規(guī)模，面對多個分公司和辦公地點的安全管理問題，傳統(tǒng)的“基于邊界的安全模型”就力不從心了。而零信任，可以在一個動態(tài)變化的環(huán)境中進行合理的訪問控制，最終提升整體的安全性，降低風險，簡化整體的運營操作，增加業(yè)務的敏捷性。”

過去企業(yè)的安全問題通常不會被放在首位，現(xiàn)在不管是基于合規(guī)的需求還是自身發(fā)展的需求，安全成為必不可少的一項。因此如何平衡業(yè)務發(fā)展和安全建設成本的問題成為每個企業(yè)必須思考的問題。

對此，莫曉盛認為：“我們其實不是為了安全去做安全，安全是業(yè)務的一個屬性，伴隨著業(yè)務一起成長，公司業(yè)務營收的持續(xù)性必須要通過安全來作為保障的。因此公司也愿意在IT的安全上增加整體的投入和成本。”雖然現(xiàn)在建設零信任iOA付出一定成本，但同時能夠釋放出原先冗余的IT安全工程師的資源，也就是通過自動化代替了人工的方式，更重要的是達到了比傳統(tǒng)方案更佳的安全效果。從長遠來看，其實這部分成本是縮減的。

據(jù)了解，騰訊iOA是一個集一整套防病毒、管控、VPN接入、DLP（數(shù)據(jù)防泄漏）等多套系統(tǒng)綜合性的一個平臺。表面上看起來是以一個終端的形態(tài)存在，但實際上后臺非常豐富而且飽滿，相比傳統(tǒng)的VPN部署方式為企業(yè)帶來更高的能效比，高燈科技的信息安全專家王凱說。

零信任落地的另一個關(guān)鍵問題是，解決多廠商產(chǎn)品異構(gòu)問題，因此還需要國家、廠商、客戶一起推動建立標準規(guī)范。目前，騰訊零信任標準工作組制定的接口標準，已實現(xiàn)了同18個行業(yè)安全廠商的對接，接口標準化促進了企業(yè)安全辦公體系的融合，也進一步優(yōu)化了辦公體驗。

2021年7月騰訊牽頭起草中國第一部《零信任系統(tǒng)技術(shù)規(guī)范》，填補了國內(nèi)零信任領(lǐng)域的技術(shù)標準空白，同時也入選了中國電子工業(yè)標準化技術(shù)協(xié)會團體標準。2021年11月牽頭的全球首個零信任國際標準——《服務訪問過程持續(xù)保護指南》，由ITU-T國際標準正式通過發(fā)布，推動了全球零信任標準化應用。這個標準也是國內(nèi)企業(yè)在國際的一級組織，國際電信組織拿到的一個關(guān)于零信任的標準，也是唯一的一個標準。

楊育斌稱：“未來更重要的是建立零信任標準，促進行業(yè)和生態(tài)的健康發(fā)展。推動標準化，推動行業(yè)共識，零信任才能真正實現(xiàn)百花齊放。”