甲方怎样落地零信任？解读安世加零信任建设调研报告

历时三个月，与133家企业的 CSO、技术总监或安全专家一对一深入交流后，安世加《零信任建设调研报告》终于发布了！

持安科技作为零信任领域的标杆企业，深度参与本报告内容策划、调研。

持安希望与业界共同探讨学习报告中不同甲方对零信任的规划、实践落地情况，推动零信任在国内的发展。

133份问卷数据

本次调研，安世加面向全国范围内各个行业的甲方企业广泛发布问卷，最终回收来自甲方企业信息安全部门、IT部门的问卷数据共133份。

在提及对零信任的理解时，报告显示不管甲方企业内部是否已经部署了零信任，93%以上的甲方企业都不认为零信任=SDP=VPN替代。

这证明甲方对零信任的认知，不再局限于远程办公等场景，零信任市场教育也在改变与前进中。

持安认为，零信任理念是在传统的IT基础设施之上，建立一套办公安全网络，以业务身份为中心，基于分层防护思想，最小权限原则，对访问者做动态、持续的可信验证。零信任平台承载业务，可以保障甲方全场景、全行业的办公安全，是一个体系化的方案，而非仅仅作用于网络层的SDP\VPN替代类产品。

133份企业问卷中，已部署零信任的企业58家，占比43.6%；未部署零信任的企业75家，占比56.4%。两者差距正在缩小。

近年来，安全正在变得越来越重要。一方面，关基保护措施、数据安全法等法律与政策的实施，信息安全建设已经成为组织发展的刚需。另一方面，边界防御失效、企业IT基础架构变化等原因，传统的网络安全产品，已经不能满足愈加复杂的业务环境，无力保障企业数据资产安全，网络安全领域需要一场理念上的变革。

零信任理念自2010年被提出，2020年疫情后，零信任在国内的关注度达到顶峰，因此2020年也被称为国内零信任元年，而今天，零信任理念的价值正在被更多甲方企业看见，零信任在国内的发展已经从理念走入落地。

持安科技是来自甲方的零信任明星企业，创世团队自2015年开始在大型甲方研究、落地零信任理念，至今已有8年经验。经历了零信任从一开始的无人问津到突然火爆，又到现在真正进入落地时代。我们相信未来，零信任一定可以真正的变成企业的IT基础设施，为更多企业提供安全与业务价值。

58家企业已部署零信任

哪些行业部署零信任较多？

在58份已布局零信任企业中，金融企业 23 家，占比 39.6%；互联网企业 14 家，占比 24.1%；制造业 10 家，占比 17.2%，其他占比 19.1%。

金融类甲方属于强监管类，他们的数据如果遭受攻击和泄露，导致的后果和损失尤为严重，因此金融机构也是最看重安全建设的行业之一。受到时有发生的安全事件和政策的推动，让金融机构不断地探求新的手段来加强自身安全建设。

互联网企业的特点是大多数重要业务都在互联网端发展，员工的办公方式也较比较多样化，很难用简单粗暴的物理隔离，或者特征检测等传统的安全产品，来保障这种新型业务场景的办公安全，无法真正抵御未知攻击，因此互联网行业也是对零信任接受度较高的企业之一。

这些领域也是持安落地零信任的方向，目前，持安已经为互联网、金融、能源、科技、地产、高端制造、新零售等数十个领域提供零信任办公安全解决方案，获得行业头部客户一致好评。

推动甲方在企业内部署零信任的动力是什么？

报告显示，安全需求为大部分甲方最在意的因素，占据了 63.5%；其次是事件驱动，类如黑客攻击、数据防泄漏等不可控事件驱动，占比 22.7%；最后是监管要求达到 9.8%，自主评估、趋势要求等原因占据 4%。

近几年来，网络安全教育成果初显，企业不再趋向于在安全事件发生之后再采取补救措施，而是提前建立体系化的防御机制，防患于未然。

零信任的默认不可信原则，变被动防御为主动防御，将传统的“先访问，再验证”模式，变为“先验证，再访问”，所有的访问请求必须先经过可信代理转给决策引擎，决策引擎综合评估其身份、设备、行为及上下文，只有经判断可信的数据包，才可以进入业务系统。改变攻防态势，提高黑客的攻击成本。

甲方建设零信任希望解决什么？

内部管控与身份验证是甲方落地零信任时最关心的因素，占据了需求因素的一半，各占 26%；数据安全与边界安全逐渐成为甲方关心的重要因素，仅次于前两项，各占到 24%，其次是应用防护。

许多人最早了解到零信任都是 Google 的Beyondcorp 项目白皮书。 Google 当年遭遇了严重的APT攻击，攻击者通过多种0day漏洞组合，导致内部业务系统被攻陷。而后Google 通过 Beyondcorp 应用层零信任架构来加强业务防护，同时做到真正不区分内外网、无边界访问安全的办公体验，兼顾安全与效率。零信任也是在此之后，真正走入大众视野。

作为Google Beyondcorp 架构在国内的最佳实践，持安从甲方到乙方，是国内首批参考Google Beyondcorp 架构落地的企业，采用切面分层模型，从链路、网络、应用到数据均实现了不同颗粒度的零信任代理和控制能力，真正实现了基于身份访问的动态策略：

1. 内外网无感知访问：站在业务视角，通过一体化平台的方式，提供安全、高效、无感知的办公方式，无论用户处于内外网何处位置，都可以使用相同的方式进入业务系统。

2. 应用层零信任：业务系统零改造，无感接入，实现了基于Google Beyondcorp的应用层零信任能力，可防护内外网未知威胁；

3. 数据安全控制：可精准识别什么人在访问什么应用的敏感数据，通过零信任策略对数据获取进行控制，将零信任能力深入到业务数据；

甲方主要在哪些场景落地零信任？

远程访问场景总占比达到35%，内网访问场景也已经占到被访谈企业的20%，证明企业正开始逐步构建不区分内外网的零信任。

越来越多的数据泄露和勒索病毒事件，让大家意识到，边界防御模型中的“内网”也不是绝对安全的，存在隐形信任，社工、渗透等攻击一旦突破了边界防御，在内网中会很容易横向移动。

SDP或VPN替代类，或是传统的安全产品，无法完全解决内网的安全问题。

基于VPN开发的SDP，需要通过多个网关或POP节点建立隧道，但同一时间同一个客户，只能链接到同一个接入点，在大型企业内网中，会导致网络延迟、风险过于集中、单点等问题。

持安以真正零信任最佳实践的方式落地零信任，可以在内外网快速落地的同时，兼顾安全与效率。

持安在网络层、主机层、应用层、数据层，分别做了不同的能力，每一个层级都施行分布式访问，接入点都部署在业务前面，用户在任一地方访问，通过零信任综合调度，选择最近、最快的路线访问，一个端点可以同时访问多个地方，使内外网访问皆无延迟，具备大型企业内网全面落地的能力。

未来，甲方对零信任有什么计划和期待？

计划用零信任来帮助安全运营占比28.2%，数据安全占比25.5%，权限管理占比 16.2%，生产环境占比9.3%，终端占比9.3%，沙箱占比4.6%，身份管理占比4.6%，API安全占比2.3%。

甲方希望通过建立零信任系统来实现更多价值，例如提高企业的安全运营效率、加强数据安全与权限管控能力等。

在安全运营角度，持安零信任产品基于业务身份建立，为基于人的身份识别从终端、网络，到应用访问、业务操作和数据获取的全链路过程，大幅提高安全分析能力，实现精准溯源和安全分析，提高安全运营的效率。

数据安全层面，持安零信任能力可深入到应用层、数据层，对资源施行分层、分级管理，自动发现敏感的应用和数据。

另一侧，零信任可以深度感知员工的异常行为，例如文件下载与外发、突然大量访问业务系统等，立即阻断并上报，对其施行加强认证或阻断。

75家未部署零信任

未部署零信任的75家甲方安全状态是什么？

在企业的安全建设上，大多数甲方企业仍采用了防火墙、WAF、IPS、IDS、防病毒等安全设备与设施。在办公设备方面，甲方目前使用杀毒软件、桌管等较多。

但这些属于较为传统的安全产品是基于特征做对抗，无法发现所有的漏洞，无法检测出所有的攻击手段，安全部门只有被动防守，无法做主动防御。

零信任基于可信验证，根据访问者的业务身份构建信任链，只有经过验证满足多种元素可信标准的请求，才可以进入到业务系统。此时，业务系统内即使存在漏洞，到达业务系统的数据也是可信的，可以有效抵御未知人员发起的未知攻击。

未来会部署零信任嘛？

对于未来是否将会部署零信任的问题，有26 家甲方企业表示有计划在1-3年内引入零信任，占据34.7%；17 家甲方企业则表示暂无相关计划，占据22.7%；而8%的甲方企业对于零信任还是在考虑中，处于观望阶段， 部分甲方企业对此则未做出回应。

甲方尚未部署零信任，主要原因是：预算不足、担心零信任无法落地、如何说服高层接受零信任理念。

持安零信任可在甲方快速落地：

1. 高性价比：持安以平台化的方式构建零信任架构，所有组件微服务化，可动态拔插，组件分布式部署，组件调用十分高效，可以做弹性扩容。可与企业原有的安全产品相融合，实现联防联控，显著提高安全投入产出比。

2. 提高效率：零信任能够在甲方快速落地，就需要效率至上，用户无感知、0学习成本，业务不需要改代码、接入成本低，可一体化管理，提高效率。

3. 产生业务价值：不单单做网络层，我们站在业务的角度，帮助业务解决安全与效率问题。

持安科技目前已服务40余家大型客户，多家客户员工数过10万人和万人规模，总用户数过60万，接入业务系统20000+，实现了零信任内网全面落地，产品经受住了长时间、高并发的考验