腾讯研究院、腾讯安全、Gartner联合发布零信任白皮书

随着企业上云和远程办公兴起，越来越多企业开始接受并使用零信任架构，以加强安全防御、简化安全管理和改善最终用户体验。5月14日举行的零信任发展趋势论坛上，腾讯研究院、腾讯安全、Gartner联合发布《以零信任构建信任——-重塑安全新边界》白皮书（以下简称“白皮书”），首度披露“以零信任 构建信任”技术路径，帮助企业了解和接受零信任框架，共同探索零信任的关键价值和未来发展趋势。

全球按下零信任部署“加速键”

2020年，全球网络环境发生巨变。一方面数字化加速落地，企业业务上云成为产业互联网发展的重要趋势；另一方面，突如其来的新冠疫情让远程办公成为新常态。白皮书指出，新的网络安全环境下，传统网络安全架构面临着“边界模糊、接入复杂、缺乏联动、攻击系统化、内部攻击、不适用云上办公”等六方面挑战。

需求倒逼加上疫情催化，加速了全球企业对零信任技术和产品的探索和实践。零信任迎来重要发展机遇期，成为新型网络环境下应对已知和未知安全威胁、构建内生安全机制的重要抓手。据Gartner预测，预计到2022年面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络架构进行访问；2023年全球将有60%以上的VPN被零信任取代。

白皮书指出，作为一种战略和框架，零信任是安全理念与角色的进阶，其关键是以身份安全为基础进行细粒度动态访问控制和安全防护。零信任将从重塑网络组织、巩固网络安全价值、构建智能化安全能力三个维度提升企业安全建设水位，帮助企业实现业务安全和办公效率的双重提升。

零信任成为网络安全建设“必选项”

白皮书提到，以“持续验证，永不信任”为核心的零信任是一种全新的安全机制，需要和企业网络安全规划相融合，在企业网络安全规划制定伊始，即将零信任理念纳入其中。因此，零信任既是对当前网络安全机制和理念的一次创新，也定义了一种全新的安全管理视角，成为数字经济发展新周期下，企业突破安全攻防博弈瓶颈，开展全新网络安全建设的“必选项”。

白皮书中不仅明确了构建零信任安全架构需要遵循“访问主体不被信任、动态访问权限、访问权限最小原则、减少网络暴露、接近最佳安全状态、信息更迭与信任评估响应”等6项原则，还首度披露了实现零信任的三大主要技术路径，即软件定义边界、身份识别与访问管理、微隔离。随着零信任持续不断的深入完善与优化，与零信任一脉相承的安全访问服务边缘，成为其新的演进趋势。

经过业内不断打磨，零信任解决方案已经在远程办公与运维、多分支结构接入、简化内部网络结构等各个领域崭露头角。根据Gartner统计数据，2019年本地部署的零信任解决方案市场体量约为59亿美元，同比增长17.3%，而云端部署的零信任解决方案市场体量约为97亿美元，同比增长21.3%。

作为零信任领域的先行者，腾讯从2016年开始在内部实践落地自主设计、研发的零信任安全管理系统——腾讯iOA。目前，该方案已在政府、金融、医疗、交通等多个行业领域应用落地。同时，腾讯在零信任架构下，推出基于SDP等多种技术能力安全架构的安全连接云服务，支持连接公有云应用及私有化应用，提供新一代的安全接入云服务。

零信任将迎健壮发展期，成为网络安全建设新刚需

趋势层面，白皮书认为未来一段时间，在零信任的交付方式上，私有化部署仍是主流，而SaaS服务将成为关键。企业在进行零信任部署时，不仅要围绕网络接入构建多方一体化联动安全防护能力，提供更好的终端用户接入体验，还要注重分阶段实施。一方面要确保方案的完整性，包括终端安全性、可管理性、数据安全性等；另一方面要使方案具备开放性，保证互联互通，可认证。

后疫情时代，数字经济成为全球经济发展的重要驱动力，为零信任安全体系的落地营造了良好环境。可预见的是，零信任即将迎来健壮发展期，成为网络安全建设的新刚需。但白皮书最后也指出，零信任普及过程中仍将面临用户建设成本较高、盲目迷信单项技术、生态碎片化阻碍行业发展和理念与角色革新不到位等多重挑战，需要行业携手共创。

以软件定义安全的零信任，将网络安全的主动权重新掌握在自己手上，也是对传统安全防御思路的一次彻底变革。未来，腾讯将不断推动技术革新，积累实践经验，助力零信任技术在各行业领域应用落地，推动零信任产业蓬勃发展。