网络安全先进技术与应用发展系列报告 零信任技术(Zero Trust) （2020 年） 中国信息通信研究院安全研究所 奇安信科技集团股份有限公司 2020 年 8 月 版权声明 本报告版权属于中国信息通信研究院、奇安信科技集团 股份有限公司，并受法律保护。转载、摘编或利用其它方式 使用本报告文字或者观点的，应注明“来源：中国信息通信 研究院、奇安信科技集团股份有限公司”。违反上述声明者， 将追究其相关法律责任。 前 言 随着全球数字化转型的逐渐深入，在“云大物移智工”等新技术 发展支撑下，零信任从原型概念加速演进，成为新一代信息技术安全 架构。在过去的 2019 年，国内零信任从概念走向落地，零信任安全 架构以其兼容移动互联网、物联网、5G 等新兴应用场景，支持远程 办公、多云环境、多分支机构、跨企业协同等复杂网络架构，受到各 界青睐，从产品研制、解决方案到应用试点示范，到逐步探索完善适 应不同场景的零信任应用实践。进入 2020 年以来，在“新基建”和 疫情的双重刺激下，零信任作为一种可支撑未来发展的最佳业务安全 防护方式，成为我国网络安全界的焦点。 本报告聚焦零信任发展，从技术、产业、应用和实践四个维度进 行剖析：技术部分包含零信任安全架构定义和关键技术的最新研究成 果；产业部分介绍了国内外产业发展、标准化等方面的最新进展；应 用部分汇集远程办公、大数据中心、云计算、物联网和 5G 应用等核 心应用场景的零信任解决方案建议；实践部分聚焦零信任规划与部署， 介绍零信任实施经验。最后以零信任建议和展望总结全文，希望通过 本书帮助更多的人理解和实践零信任，加快推进零信任创新发展，为 以新基建为代表的数字化转型保驾护航。 目 录 一、零信任技术和产业发展现状......................................................................... 1 （一）零信任核心原则......................................................................................... 2 （二）零信任安全架构及组件............................................................................. 4 （三）零信任关键技术......................................................................................... 7 （四）国外产业发展及应用规划....................................................................... 10 （五）国内零信任概念走向落地....................................................................... 12 二、零信任应用场景........................................................................................... 14 （一）远程办公................................................................................................... 14 （二）大数据中心............................................................................................... 18 （三）云计算平台............................................................................................... 22 （四）物联网....................................................................................................... 26 （五）5G 应用 ..................................................................................................... 30 三、零信任实施建议........................................................................................... 34 （一）使用范围................................................................................................... 34 （二）实施规划................................................................................................... 38 （三）技术实现................................................................................................... 40 四、零信任思考和展望....................................................................................... 46 图 目 录 图 1 零信任概念演进历程图................................................................................ 2 图 2 零信任架构总体框架图................................................................................ 4 图 3 基于零信任架构的远程办公安全参考架构.............................................. 18 图 4 数据中心内部访问流程示意图.................................................................. 21 图 5 数据中心安全接入区案例示意图.............................................................. 22 图 6 基于零信任架构的云计算平台安全参考架构.......................................... 26 图 7 基于设备指纹的物联边缘网关零信任方案示意图.................................. 30 图 8 零信任实施技术路线示意图...................................................................... 41 表 目 录 表1 零信任解决方案市场供应商分析............................................................ 11 表2 5G 架构下的主要对象 .............................................................................. 31 表3 5G 架构下的风险来源 .............................................................................. 31 表4 5G 架构下的攻击情况 .............................................................................. 31 表5 5G 典型攻击行为案例 .............................................................................. 32 零信任技术（Zero Trust） （2020 年） 一、零信任技术和产业发展现状 近年来，中央地方高度重视新型基础设施建设（简称“新基建” ）， 国家高层会议密集提及新基建，各省积极推动新基建项目集中开工。 作为新基建三大领域之一的信息基础设施，成为数字经济的关键乃至 整个经济社会的神经中枢，其安全性、敏捷性、稳定性等将对新基建 安全发展产生至关重要的影响。因此，在主动拥抱新基建的同时，首 先应当系统性地评估网络安全的准备工作是否到位。随着新一代信息 技术的快速演进，新技术态势下的网络安全威胁和风险不断涌现、扩 散，移动互联网、物联网、工业互联网、车联网等新型应用场景致使 物理网络安全边界逐步瓦解，用户、设备、业务、平台等多样化趋势 不可阻挡，新场景叠加的安全风险不容忽视。为了应对逐渐复杂的网 络环境，一种新的网络安全技术架构—零信任逐步走入公众视野，其 创新性的安全思维契合数字基建新技术特点，着力提升信息化系统和 网络的整体安全性，受到了广泛关注，并被寄予厚望。 零信任雏形最早源于 2004 年成立的 Jericho Forum1，其成立目的 是寻求网络无边界化趋势下的全新安全架构及解决方案。2010 年， Forrester2的分析师约翰·金德维格正式提出了“零信任” （Zero Trust） 一词 3。随着业界对零信任理论和实践的不断完善，零信任从原型概 念向主流网络安全技术架构逐步演进，从最初网络层微分段的范畴开 Jericho Forum：耶利哥论坛，成立于 2004 年，公益论坛 Forrester：弗雷斯特研究公司，成立于 1983 年，技术和市场调研公司 3 S. Rose et al., Zero Trust Architecture, National Institute of Standards and Technology (NIST) Draft (2nd) Special Publication 800-207, Gaither