1.3 国外零信任行业的大发展

谷歌在公司内部做的零信任实践在业界产生了很大影响，很多公司都希望向零信任架构演进。有需求就有人满足，零信任创业公司纷纷成立。在其中的佼佼者取得了一定成绩后，大量的老牌安全厂商也纷纷跟进。在诞生了几家独角兽公司后，零信任领域持续吸引风险投资进入，大型 CDN 厂商、电信运营商、通信厂商也开始在零信任领域布局投资或展开并购。这反过来又鼓励更多企业进入零信任领域，创造差异化的产品。如此的正向循环促成了整个行业的大发展。

著名咨询机构 Gartner 认为，未来几年将有80%的面向生态合作伙伴的新数字业务采用零信任网络，60%的企业将从远程访问VPN向零信任架构转型。

2021年5月，美国总统拜登签署了《关于加强国家网络安全的行政命令》（ Execution Order on Improving the Nation’s Cybersecurity ），要求政府各部门立即着手制定落实零信任架构的计划。这标志着零信任架构已经得到了美国主流市场的广泛认可。

下面介绍几种比较主流且有特色的零信任解决方案。

1.3.1 零信任网络访问方案

零信任领域最主流的方案是类似 BeyondCorp 的方案。谷歌公司在2020 年开始将BeyondCorp中的部分组件商业化，现在在谷歌云平台上就可以采购相关组件。其特色是与谷歌的Chrome浏览器进行了集成，用户可以在Chrome企业版上进行安全远程访问。

微软公司推出了基于微软Azure云的零信任方案，该方案的架构与BeyondCorp相似，企业的身份安全通过微软的Azure AD产品保障。其特色是与微软的XDR方案集成，并与Microsoft 365数据安全方案集成。

其他知名公司，如Cisco、Palo Alto、Fortinet、Cyxtera等，都有类似的方案，在此不一一列举。Gartner在其《零信任网络访问市场指南》中提出了零信任网络访问（Zero Trust Network Access，ZTNA）一词，作为类似方案的总称。

1.3.2 云形式的零信任方案

Gartner的《零信任网络访问市场指南》中还提到过一种很有代表性的零信任网络访问方案，就是以Zscaler为代表的云形式的零信任方案。

Zscaler是美国典型的新兴零信任网络安全公司，2018年上市时的市值就超过10亿美元，被称为企业安全领域的独角兽公司。在全球2000强企业中，一度有400家企业是Zscaler的客户，Zscaler的市值更是翻了几十倍，成为资本市场的明星。Zscaler之所以被市场看好，主要就是因为它的产品是基于云的，规模化、复制能力都非常强。所以，市场对它的业务增长的预期很高。

图1-6是Zscaler的架构图。

Zscaler最主要的特点就是把所有的认证、授权、过滤功能都部署在云端，用户在访问内部业务系统时，先到云端进行安全校验，再导入企业内网。这样做，相对其他架构有如下好处。

（1）企业不用部署大量安全设备，只需部署一个连接器，更方便了。

（2）安全功能在云端统一管理，随企业需要随时扩容，扩展性更好、性能更好。

（3）云端可以共享威胁情报以及风险的数据分析模型，安全性更好。

云网关+连接器的架构还有另一个好处，就是连接器只需要由内向外连接，企业不需要开放入向流量，企业的内网环境更加安全。这一点会在4.1.5节进行详细讲解。

1.3.3 以身份为中心的零信任方案

这类方案的代表是 Okta 公司。Okta 公司是做身份识别与管理系统（Identity and Access Mangement，IAM）起家的，无论是在Gartner定义的访问管理领域，还是在Forrester定义的身份即服务（Identity as a Service，IDaaS）领域，Okta均处于市场领先位置。

Okta的零信任方案的特色是与Okta的身份云集成，实现对用户、服务器和API身份的全生命周期管理，以及基于身份上下文的细粒度访问控制。4.7节会详细介绍零信任架构中与身份相关的安全能力。

1.3.4 微隔离方案

微隔离指对系统服务之间的细粒度的访问控制。这个领域的代表公司是Illumio。这又是一家安全领域的独角兽公司。

Illumio 微隔离方案的特色是可以获取工作负载之间的“通信地图”，根据地图快速构建访问控制策略，策略会通过部署在工作负载上的微隔离组件自动执行。该方案可以跨云、跨容器、跨数据中心部署，对环境的兼容性非常好。更多关于微隔离的细节将在4.6节介绍。

1.3.5 美国国防部零信任参考架构

2021年2月，美国国防信息系统局（DISA）发布了《美国国防部零信任参考架构》。零信任架构正在引领美国国防部的安全架构从“以网络为中心”转变到“以身份和数据为中心”。美国国防部表示，无论是涉密网还是非涉密网，都要使用零信任架构。

美国国防部的零信任理念与Forrester的ZTX非常相似，也强调安全的七大维度——数据、网络、用户、工作负载、设备、可见性与分析、自动化与编排。不同之处在于，美国国防部的架构更加侧重对网络、应用、数据的统一管控，如图1-7所示。

美国国防部的零信任访问控制做得非常深入，从网络到数据，每一层都要进行管控。用户登录要进行校验，用户访问某个IP地址要进行校验，用户访问某个业务系统要进行校验，用户访问某条数据要进行校验。特别是对数据的重视，在其他方案中是比较少见的。

美国国防部在数据安全方面已经做得非常细致了。从工资单到导弹防御系统，所有的数据都做了标签化处理，依据标签进行细粒度的访问控制。 +znRDtGQ3WwL5XKPk2CuYqWiiLfTbHFlQfHai6k09fmBRlY5COI3zsEl52VWaGLa