作为一种新兴的安全概念和技术，经过近十年的发展，零信任正在从实践走向实际应用。随着零信任从概念架构到实施实践的不断突破，如何加快构建零信任安全体系，利用零信任解决方案保障千行百业的数字化转型成为当前行业关注的焦点。我们也观察和思考。

图1 零信任技术应用发展

从零信任国际的发展历程来看，零信任在2017年之前经历了漫长的慢跑；2017年之后，一系列技术标准和架构陆续提出，节奏逐渐加快；从2021年开始，零信任信任相关技术的成熟度显着提升。

01、零信任的实践与应用

它是零信任的早期实践，它基于从零开始设计和构建零信任模型的理念，经过几年的探索和实践。其实践的基本思想是对访问主体、客体、访问权限进行细粒度的关联和控制。核心组件包括设备、用户、应用程序和工作流以及网络。其中，网络分为特权网络和非特权网络。在非特权网络中，主要通过接入代理（GFE）提供集中的粗粒度策略执行机制，GFE能力陆续扩展，包括认证、授权、审计等。

相比之下，DISA（ ）零信任策略实践的环境更为复杂，其目标是从离散部门的独立安全构建转变为统一的安全防护架构。根据最新消息，DISA战略将于2022年1月启动，启动前将花费一年多的时间进行方案评估和架构规划。该过程显示在时间轴的图 2 中：

图2 DISA零信任策略推广路径

2020 年 10 月，零信任参考框架在 DISA 的 JITC（联合互操作性测试指令）实验室中构建和测试，目标是开发供应商中立的解决方案。这一验证也为后续的战略规划和方案建设奠定了信心和基础。在此验证之前，NIST（美国国家网络安全卓越中心）于 2020 年 3 月发布了《实现零信任架构》的项目规范（草案），该规范也旨在通过商业产品构建零信任架构。

在架构设计中，定义了零信任架构的七大支柱元素，分别是：用户、设备、网络/环境、应用/工作负载、数据、可视化/分析、自动化和编排php 权限管理框架，并匹配特定能力和关键技术. 2021年10月，进一步提出基于零信任架构的建设方案，确定通过SASE重构实施零信任战略。最后根据确定的方案制定项目的具体实施方案。

图 3 美国零信任实践到应用开发的五个阶段

在该计划实施的同时，美国管理和预算办公室（OMB）也发布了正式版的《联邦政府零信任战略》，明确了美国零信任架构的五个核心支柱。美国“民间机构”，进一步从管理、技术、架构、基础设施选择等维度提出了具体要求。OMB和DISA零信任战略规划的过程看起来很相似，但是OMB的构建速度要比DISA快很多。不过网站建设，DISA从互操作性验证到项目实施的每个阶段都预留了过渡期，整个过程显得更加谨慎。

总结美国从实践到DISA重构的转变过程，经历了技术实践、互操作性验证、架构规划、技术方案、实施计划五个阶段。如果说前期是实践，那么今天DISA和OMB的零信任策略承载着重要的安全任务，有技术标准、架构验证、统筹规划、合理规划。这在一定程度上标志着零信任从实践走向应用。

02、对我国零信任应用的观察

在中国，“替代VPN”曾被认为是零信任的重要使命之一。但 VPN 的最初使命是为远程访问构建专用网络网站制作，而零信任最初旨在作为数据保护的安全范例，旨在防止数据泄露并限制内部横向移动。用VPN来满足云时代海量远程访问的安全访问需求也是牵强附会，但VPN暴露出来的安全风险确实是推动零信任发展、推动SDP发展的重要力量之一网关成为替代企业远程办公的重要解决方案。

我们看到，保障零信任行业应用的相关配套标准已经开始出现。中国电子标准化协会牵头的《零信任技术规范》和中国城市轨道交通协会牵头的《城市轨道交通云平台网络安全技术规范》都给出了零信任概念下强准入控制的技术要求。采用并可以参考的逻辑架构强调无论是人、设备、应用还是数据，都必须进行身份识别、访问认证和动态授权。同时，为了进一步提升证书体系的安全性，商业秘密行业也在践行零信任，

零信任理念对传统安防产品的赋能进一步加强：

（1)在用户身份识别能力方面，零信任赋能以IAM为代表的身份和访问安全技术，对用户身份认证的需求推动权限管理和权限管理成为更重要的能力单元。

（2)在网络和通信安全方面，以SDP为中心的访问控制方案已成为网络远程访问安全的重要组成部分，但企业仍处于试验阶段。如何更好地进行持续风险评估, 是否可以完全无特权的访问还有待验证。

（3)在终端安全方面，除了网络接入侧的强验证外，零信任进一步推动安全引擎、沙箱、虚拟空间等技术在终端安全中的应用，拓展终端基线检测以及入侵检测/保护、审计等安全管理能力。这不仅有助于大量去中心化部署中的大量终端风险管理php 权限管理框架，也有助于XDR提高其快速检测-响应能力。

(4)在数据安全方面，零信任概念融合了传统数据安全的访问和控制能力，可以很好地应对云平台大数据的碎片化管理；虚拟空间技术通过终端也得到了很好的扩展；另外，为了数据中心的数据安全，网络侧的数据管控会更合适，但从访问控制和部署的角度来看，其解决方案类似于远程办公室。零信任解决方案具有相同的目标。

（5)在零信任理念的影响下，应用交付和WEB VPN设备相比传统的应用交付也有了很多改进：在部署方案中访问控制和策略管理逐渐分离，产品设计增强多因素认证用于完善权限管理策略，特别是针对API访问无处不在的安全风险，涌现了一波专业的API安全防护能力，提升了运行时应用的自我防护能力。

零信任的概念给用户、终端、网络、数据和应用的安全能力带来了许多变化。但是，从系统建设的角度来看，目前国内的应用还是非常有限的：

（1)零信任架构是一个综合了很多安全能力的解决方案，对组件的依赖度很高。但在需求端，企业更愿意选择不受供应商限制的零信任解决方案。解决方案。

（2)从供给端来看，现阶段零信任解决方案多以厂商为主，主要由其专业领域内的专业知识提供，难以支持企业在其专业领域整体零信任战略规划。

（3)目前业界缺乏对零信任解决方案组合的互操作性评估，同时还需要更多的实践来验证业界现有的零信任构建框架。