国内零信任市场报告：网络安全（28页）

行业报告下载 2020年10月25日 06:32 管理员

在传统的安全体系下，内网用户默认享有较高的网络权限，而外网用户如异地办公员工、分支机构接入企业内网都需要通过 VPN。不可否认传统的网络安全架构在过去发挥了积极的作用，但是在 IT 无边界化已经成为大趋势，高级网络攻击肆虐，内外部威胁愈演愈烈的环境下，传统的边界安全体系需要迭代升级，零信任理念应运而生。零信任的最早源自 2004 年成立的耶利哥论坛（Jericho Forum），其成立的使命是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年约翰·金德维格（John Kindervag）首次提出了零信任安全的概念，其核心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。历经十年发展，零信任安全理念在国外逐渐被广泛认知。

与边界模型的“信任但验证”不同，零信任的核心原则是“从不信任、始终验证”。传统上机构（及一般企业网络）都专注于边界防御，授权主体可广泛访问内网资源。而根据 Evan Gilman《Zero Trust Networks》书中所述，零信任网络建立在五个假设前提之下：1）应该始终假设网络充满威胁；2）外部和内部威胁每时每刻都充斥着网络；3）不能仅仅依靠网络位置来确认信任关系；4）所有设备、用户、网络流量都应该被认证和授权；5）访问控制策略应该动态地基于尽量多的数据源进行计算和评估。SDP 改变了传统的网站连接方式。在传统的连接中，首先，客户端需要建立与服务器端的连接，这一步骤使服务端暴露在公网中，若服务端有漏洞，则有可能被利用；其次，用户通过登录页面输入用户名和密码，这一步骤有可能使得用户名和密码被窃取；最后，除用户名和密码外还可使用多因素认证，通过多因素认证，可以抵抗用户名和密码的丢失，但是多因素认证对于用户而言不是很友好。而在 SDP 中，首先，客户端进行多因素认证，认证设备的可靠性等，这一步对用户而言是透明的。认证通过之后，才进入用户登录阶段。这两步均是客户端与 Controller 进行交互，不涉及对于具体服务的访问。当认证通过后，客户端才能够与可访问的服务建立连接。

国内零信任市场报告：网络安全（28页）