2021年12月30日,云安全联盟大中华区正式发布《2021中国零信任全景图》(第二版),联合发布单位为天融信、深信服、数字认证、白山云、美创科技(以上排名不分先后)。
图1:《2021中国零信任全景图》
(清晰大图获取方式请参考下文)
为了向业界完整呈现中国零信任的行业生态和为打算实施零信任的甲方提供完整的参考,让读者对零信任有一个全面的认知,云安全联盟大中华区在2020年12月云安全联盟大中华区大会上发布了《2020中国零信任全景图》(第一版)。为了更好地体现各单位擅长的领域,根据各单位的申报材料,基于零信任相关项目的实际落地情况,云安全联盟大中华区编制了《2021中国零信任全景图》(第二版)。
本次零信任全景图共收录88家单位,比第一版零信任全景图参加的单位增加了35%,相对第一版本,我们对第二版零信任全景图进行了优化调整,主要调整包括:
1. 新增1个模块”公司类型“,对所有被调研的单位进行了分类;
2. “被保护对象”分类下增设“API”二级分类;
3. “业务场景”分类下增设“数据交换”、“企业多云战略”、“物联网”二级分类;
4. “业务类型”分类下增设“评估服务”和“治理服务”,取消“测评服务”二级分类;
5. “部署架构”分类下增设“终端”二级分类。
以下将从零信任概述、零信任成熟度模型、零信任驱动因素以及零信任全景图分析四个方面进行分析介绍,并对相关的代表厂商进行了分类汇总,希望能为甲方实践零信任提供参考和帮助。
一、零信任概述
零信任思想的起源可以追溯到1994年由JerichoForum提出的 “去边界化”网络安全概念。而“零信任”这个词汇则是由Forrester原首席分析师John Kindervag于2010年首次提出的。零信任思想摒弃了“信任但验证”的传统方法,将“从不信任、始终验证(Never trust, always verify)”作为其指导方针。零信任发展大事记见图2,零信任的标准演进见图3。
、
图2:零信任发展大事记
图3:零信任标准的推进
零信任正在快速的发展中,越来越多的组织都在拥抱零信任。其中美国国防部DoD全面启动零信任战略并且发布了《DoD零信任参考架构》。《DoD零信任参考架构》分别从全景视角(AV)、作战视角(OV)、能力视角(CV)和标准视角(StdV)对零信任架构进行了描述。
图4:《DoD零信任参考架构》
在本次收集的样本数据中,从客户行业分布来看,目前国内零信任的目标客户主要集中在政府及事业单位、金融、制造业、运营商、互联网、能源、电力和医疗行业。
图5:零信任应用行业分布图
二、零信任成熟度模型
2021年9月7日,美国网络安全与基础设施安全局(CISA)发布《零信任成熟度模型》草案。成熟度模型的推出给企业、组织、机构在零信任实践上提供了参考,有助于通过零信任加固设施,通过该模型可以评价当前的零信任能力和水平,同时作为零信任能力提升的参考。
成熟度模型包括五个支柱和三个跨领域能力,以零信任为基础。
图6:零信任成熟度模型五大支柱和三大能力
在每个支柱中,成熟度模型都为机构提供了传统、先进和最佳零信任架构的具体示例。
图7:零信任成熟度模型的示例
而在国内,云安全联盟大中华区与中国信通院正联合编写“零信任能力成熟度模型”,相信中国特色的零信任模型将会很快诞生。
三、零信任的驱动因素
1、合规驱动
近年来,数据安全形势日益严峻,侵犯个人隐私,攫取、破坏和滥用数据资源的行为时有发生,严重危害社会公共利益乃至国家安全。特别是随着数字经济日益成为国际竞争的制高点,数据安全和个人信息保护的重要性被提升至前所未有的高度。许多国家都认识到数据安全的重要性,逐步开始颁布并实施相关法律。从全球范围看,立法成为大国竞争和争夺数字经济领先地位的重要标志。
图8:全球相关的法律法规和条例
2021年6月10日,《中华人民共和国数据安全法》正式表决通过并于2021年9月1日正式实施,掀起整个行业对数据安全的聚焦,也凸显国家层面对保护数据安全的坚定意志。同年8月20日,《中华人民共和国个人信息保护法》正式表决通过并于11月1日正式实施。
因此,各行各业都迫切需要寻求新的数据安全解决之道,以零信任为代表的安全理念及架构等脱颖而出,成为推动并赋能合规建设的重要方法和指南,及赋能数字经济持续健康发展的坚实底座。
2、合需驱动
数字经济时代,数据已经成为基础性、战略性生产要素,成为决定各国数字经济发展水平和竞争力的核心资源。因此,数字化伴生的新技术和应用对网络安全技术和管理方式提出了更高要求。
图9:零信任的合需场景
例如在全球COVID-19影响下,远程会议、远程运维、移动办公、数字孪生、元宇宙、各类沉浸式体验等新技术、新应用和新场景的层出不穷,加速了传统物理安全边界模糊化,同时也增加数据的暴露面,从而大大增加了在身份安全、链路安全、设备安全、应用安全、接入安全、大数据平台、云计算方面的安全风险。因此,需要一个更符合未来安全趋势的理念和架构来开展整体安全建设,也直接驱动了零信任在终端安全、应用安全、访问安全、设备准入、流动数据安全、勒索病毒防护等能力的应用和落地,满足金融、医疗、交通等领域全方位的零信任安全体系建设的需求。
四、零信任全景图分析
# 公司类型#
今年我们对所有被调研的厂商进行了如下分类:甲方零信任实践者、增加零信任业务的原有安全厂商以及零信任领域的新兴创业公司。
由于零信任方案的落地需要与业务场景高度结合,作为自身拥有强大研发和安全能力的甲方企业,在这方面具有得天独厚的优势。自Google发表Beyond Corp系列论文至今,已经有不少甲方公开了他们的零信任实践经验,为业内提供了良好的参考;也有一部分企业在自身成功实践的基础上,将零信任方案或者产品商业化,从甲方优秀实践者转变为零信任厂商。
增加零信任业务的原有安全厂商基于之前已有的通用技术积累和丰富的产品化经验、项目实施经验,通过对已有产品的适当改造和一定程度的技术创新,快速切入零信任市场。对于国内大多数既有通用安全合规需求,又希望通过零信任提升现有安全能力(而不是彻底重建)的甲方来说,更倾向选择已经有过良好合作基础的此类厂商。
另一类就是零信任领域的新兴创业公司,这类厂商更倾向把产品做精做专,也相对更愿意迎合客户需求进行功能创新,因此也获得不少甲方的青睐。按公司类型分类,相关代表厂商如图10所示:
图10:公司类型
# 被保护对象#
零信任聚焦于保护“资源”,即本文所述“被保护对象”,包括组织拥有的全部数据、应用和IT资产(设备、设施、工作负载等)。保护数据主要是指防止数据泄露和非授权访问;保护应用主要是应用程序的隐身、应用的细粒度动态权限管控、以及业务安全等;保护设备/设施/工作负载主要是指终端设备、基础设施或工作负载的隔离与保护,比如云主机、容器等工作负载之间的隔离与安全保护。考虑到API(应用程序接口)在数字化进程中所起的作用越来越大,而API安全问题导致的数据泄露事件也在不断增加,因此我们今年在被保护对象中增加了API这一分类。保护API主要包括API安全代理与业务隐藏、访问者身份鉴别和权限控制等。
组织在选择零信任策略执行点(PEP)组件时,首先应识别所需要保护的资源类型(如前所述)以及对资源的访问方式,例如用户访问业务应用、运维人员访问IT资产、微服务之间进行API接口调用、应用系统访问后台数据库,等等。然后选择适当的防护产品,以代理或网关方式部署在被保护对象本地或前端,并配合零信任策略决策点(PDP)实现对资源的动态保护。按被保护对象分类,相关代表厂商如图11所示:
图11:被保护对象
# 业务场景#
安全产品往往具有很强的场景化特征,在不同场景下选择合适的厂家是安全实施的第一步。跟去年相比较,我们今年增加了数据交换、企业多云战略、物联网等场景,这是因为数字化改革越来越深入,数据交换是数字经济的基础,数据往往掌握在不同部门、不同组织手里,只有把这些数据联合起来才能更好的发挥数据的价值。Gartner调查表明:到2022年底,35%的大型机构将通过正式的在线数据市场成为数据的卖家或买家,而2020年这一比例为25%. 这也说明数据交换市场正在放大,自然安全问题也会越来越明显。而云化和物联网的发展,大家都能切身感受到。
上云还加快了SASE的发展,SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。SASE整合了软件定义网络和安全,安全即服务。根据Gartner的预计,到2024年,至少40%的企业将有明确的策略采用SASE,高于2018年底的不到1%。
当企业的业务正在快速放大,安全问题往往会成为一个障碍。Gartner的研究预计到2022年底,80%的云漏洞将来自客户配置错误,凭证管理不善或内部盗窃。避免这些缺陷的最佳方法是使用自动化平台运行策略来确保安全合规性,安全厂家有责任为组织提供合适的产品或者解决方案,推进业务的创新和变革。按业务场景分类,相关代表厂商如图12所示:
图12:业务场景
# 业务类型#
业务类型与去年相比,我们删除了测评服务,但是增加了评估服务和治理服务。零信任是一个安全新概念,不同的厂商在零信任市场上提供的业务类型也有所不同,主要包括产品、服务和方案,业务类型体现了厂商的业务侧重点。标准产品解决相对比较明确的业务场景,它的特点是投入成本相对比较少,项目实施周期短,可控性高。服务指的是安全相关的一些咨询、评估等,当然厂商可能会有自己的一些工具配合人力服务。而方案一般是产品加服务的形式,形成一个整体解决方案,某些提供方案的厂商,可能也会使用其他厂商的一些产品甚至服务,一般周期会比较长。
随着数字经济的高速发展,对于安全的诉求越来越高。根据Research Dive最新发布的报告显示,全球零信任网络安全市场规模从2019年的185.0亿美元增长到2027年的667.413亿美元,从2019年到2027年的复合年增长率为17.6%,而其中零信任整体解决方案的市场份额将会越来越大。零信任从单一产品往平台、整体解决方案发展的趋势越来越明显。对于甲方而言,选择合适的零信任厂商可以加速零信任改造,为业务赋能,有助于数字化改革,同时从数字化改革中获取增量业务所带来的创收。按业务类型分类,相关代表厂商如图13所示:
图13:业务类型
# 技术类型#
跟去年相比,技术类型并没有调整,虽然技术不断发展,但零信任领域使用的主要技术还是SDP, IAM和微隔离。IAM作为身份治理的核心技术,SDP解决南北向安全问题,微隔离解决东西向安全问题。其中有一个有趣的事情:微隔离产品入选了Gartner发布的2021年CWPP市场指南,说明数据中心内部东西向流量的安全问题越来越受重视。这跟现在的系统越来越复杂,微服务、中间件、各种中台以及云部署有一定关系。按技术类型分类,相关代表厂商如图14所示:
图14:技术类型
# 服务模式#
零信任服务的部署模式取决于安全要求,和去年相比,没有做调整,主要包括私有化、云化以及混合模式。私有化的部署模式下相关的产品或服务以私有化的形式提供,相关的资源或服务由一个用户独占使用;云化通过公有云的形式为众多用户提供零信任服务,所有的用户共享公共的云资源;还有一种模式是同时支持私有化和云化服务的混合模式。
不同的组织因为业务形态、数据的敏感程度、风险承受能力或监管的要求不同,而选择不同的服务模式。很多高监管行业的客户可能更倾向于选择私有化服务模式,将产品部署在自己的私有环境。公有云模式因为可以以云服务的形式服务于多个客户,可以节省相关的IT基础设施成本支出,具有较高的性价比。但从调查来看,目前绝大多数的零信任部署优先采用私有模式,说明大量的客户还是希望对平台有较强的管控力。按服务模式分类,相关代表厂商如图15所示:
图15:服务模式
# 部署架构#
零信任的经典部署架构主要包括:设备代理/网关部署、飞地部署、资源门户、沙箱、终端和探针等,相比去年,我们增加了“终端”。设备代理/网关部署架构PEP位于资源上或资源前,网关作为资源的代理,与资源通信。飞地部署架构下网关位于某一资源飞地边界(如数据中心的边界)。资源门户部署架构PEP充当用户请求网关(如公有云的资源管理门户、企业的办公门户站点等)。沙箱部署则是通过沙箱让程序隔离运行。除此以外还有部署与终端、核心交换机旁路部署、微隔离等形式。
部署架构的选择很大程度上由业务场景决定,企业选择的部署模式需要结合实际的业务场景。从目前的落地情况看,设备代理和终端这两种架构的部署模式占据了主流。按部署架构分类,相关代表厂商如图16所示:
图16:部署架构
全景图高清图及文档报告下载
关注“云安全联盟CSA”公众号,回复“零信任全景图”
感谢所有参与此次全景图的单位,以及联盟相关的专家和志愿者,全景图的发布离不开大家的支持和共同努力:
顾问指导:李雨航、贾良玉
专家团队:周杰、谢琴、姚凯、郭鹏程、王金红
志愿者:夏营、牛俊生
联合发布单位:天融信、深信服、数字认证、白山云、美创科技
《2021中国零信任全景图》难免存在遗漏之处,敬请各界朋友指正,烦请请扫描下方二维码进行反馈。同时,欢迎广大零信任相关单位共同参与零信任全景图的持续迭代和更新,若有单位不在该全景图之列,欢迎随时联系我们,我们将在下一个版本进行补充和完善,联系人:CSA大中华区秘书处 叶女士 18024312752 info@c-csa.cn。