近來，國內零信任市場迎來強勁風口。騰訊牽頭發布全球首個零信任國際標準，微軟發布零信任安全白皮書，英偉達推出零信任網絡平臺，零信任安全公司派拉軟件獲得數億元融資，安幾網安、持安科技等也相繼完成千萬元級融資……一時間，各路英雄齊聚零信任江湖，爭相探索破局之路。

全球入局者正在“跑馬圈地”

萬物互聯時代，零信任的流行很大程度上源于網絡邊界泛化帶來的安全風險。其“持續驗證、永不信任”的理念徹底顛覆了基于邊界的傳統安全防御模型，能夠有效幫助企業在數字化轉型中解決曾經難以解決的難題，也因此受到市場追捧。

從國外市場來看，在零信任市場“跑馬圈地”的路徑主要分為三類。谷歌是最早投入零信任安全架構研發與實踐的公司，整整花了6年時間才在企業網實現了零信任落地。2020年4月，谷歌宣布完成其內部使用的遠程安全訪問零信任方案BeyondCorp的產品化，并在谷歌云服務上發布銷售。業內專家指出，谷歌走的是一條典型的自用轉外銷的道路，通過內部項目孵化實現技術溢出價值。微軟、阿卡邁（Akamai）等巨頭也走的是同一條路。

思科、派拓網絡、賽門鐵克（Symantec）、優利系統（Unisys）等公司則是采用收購方式快速在零信任市場占領高地。以派拓網絡為例，其通過收購PureSec、RedLock、Twistlock等安全公司，快速實現了從網絡到云和負載的拓展，在2019年“Forrester Wave零信任報告”中成功躋身“零信任供應商領導者”名單。

此外，還有一批獨角獸企業值得關注，如Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。它們以技術先進性“出圈”，頗受資本青睞，成長潛力驚人。Zscaler自2018年上市至今，市值已從70億美元狂升至486億美元。Okta從2017年上市到如今，股價已大漲十倍以上，市值超過330億美元。

國內大廠領銜流派分明

從國內市場來看，谷歌BeyondCorp給中國零信任市場播下了最初的種子。參照谷歌的路徑，騰訊也選擇了自用轉外銷，從2015年開始自主設計、研發并在內部實踐落地了一套零信任安全管理系統-騰訊ioA，通過SaaS模式和私有化部署交付。阿里云也推出辦公零信任解決方案，類似谷歌的BeyondCorp簡化版本。

“對于數據安全高度敏感的互聯網大廠是零信任的主要推動者。數據對他們而言是影響生存的核心機密，因此他們的自身驅動力強勁，多會選擇自研方式切入零信任領域。尤其在當前安全形勢日益嚴峻、網絡攻擊頻繁發生的情況下，互聯網公司需要通過零信任來提升風控水平。”一位不愿具名的資深專家稱。

傳統安全廠商非常注重自身安全能力的提升與建設，零信任是大勢所趨也是必然選擇。奇安信副總工程師鄔怡在接受《中國電子報》記者采訪時表示：“奇安信的零信任策略是提供覆蓋全場景的解決方案，切入領域關鍵、程度深入。同時，奇安信對零信任的認知更有高度，安全服務能力方面也更具優勢。”據了解，奇安信是國內最早一批零信任身份安全倡導者之一，已經在超過百家部委、金融機構和大型央企進行了零信任的實踐，并多次獲得Forrester、Gartner等國內外知名研究機構推薦。

在捕捉“技術熱點”方面，ICT綜合服務商也不甘示弱。據了解，新華三認為零信任將成為當前應對安全挑戰的最佳思路，因此將其納入安全業務一大重點。 “在零信任賽道上，新華三的差異化優勢主要體現在三個方面：一是云管邊端一體化協同防護理念；二是自動化響應能力；三是AI智能化控制。” 新華三安全產品線研發總裁王其勇對《中國電子報》記者介紹道。目前，新華三零信任安全解決方案已在金融、教育、政府等行業多有實踐。

從技術路徑來看，入局者的探索方向不盡相同。“目前國內做零信任的安全廠商有幾大流派：一些公司，如奇安信、竹云是從身份認證角度切入零信任賽道；一些公司從傳統遠程辦公，也就是虛擬專用網絡角度切入，如深信服推出了零信任虛擬專用網絡；一些公司從傳統網絡安全層面切入，如華為下沉到了網絡層面的防護；還有一些公司從微隔離角度切入。由于是面向泛行業和多場景都適用的解決方案，零信任的市場極大，應用點有很多。” 芯盾時代研發副總裁陳曦曾表示。

零信任的三大核心技術是軟件定義邊界、身份權限管理、微隔離，對于在網絡安全領域早有積累的廠商來說技術并非難事，落地問題才是關鍵。專家認為，入局者“跑馬圈地”的關鍵在于如何突破國內市場落地場景難找準、現有安全體系改造難、持續管理難、實施效果和價值評估難、用戶使用習慣改變難等瓶頸。“誰先找出一條適合中國市場的商業化路徑，誰就有機會掌握話語權。”

SASE或ZTE孰為實現路徑？

業界普遍認為，Forrester提出的零信任是近十年來最重要的安全創新理念。零信任的重要性被充分認知之后，Gartner提出了SASE（安全訪問服務邊緣）模型，而緊接著Forrester提出ZTE（零信任邊緣）模型。這兩個模型被認為是從邊緣側實現零信任的有效途徑，在業內掀起熱烈討論。相較而言，SASE強調網絡和安全緊耦合，所以要求單一提供商提供全套SASE產品；ZTE強調網絡和安全解耦，認為可以多個供應商集成。實施路線方面，SASE強調網絡和安全同步走；ZTE強調零信任先行，網絡重構滯后。

數篷科技CTO楊一飛認為，SASE的主要需求來自端到云的訪問中對網絡優化和安全保障能力的需求。當一個企業具備多個（跨地域）分支機構，并且擁有多個自建云和租用云時，實現多云、多業務、多地的互相訪問對于網絡和安全的高需求是顯而易見的。

“零信任邊緣將完全融合網絡和安全，將零信任安全原則和軟件定義網絡結合成一套內聚的云交付和托管服務。雖然零信任邊緣致力于解決分布式企業，但提供更快、更敏捷的服務的解決方案必須建立在兩個基本要素上：一是基于云的網絡和安全管理；二是基于云的監控和分析。” Forrester 高級顧問谷豐對《中國電子報》記者解釋道，“連接所有用戶和應用程序是零信任邊緣的最終狀態，無論系統是在本地、在云中、在私有云中，還是在遠程工作。”

有觀點認為，Forrester的邊緣安全推進策略，顯得相當務實，也更加重視零信任。相比之下，Gartner的邊緣安全推進策略，就太理想化了。但也有觀點認為，無論是SASE還是ZTE，最終目的“殊途同歸”，實現邊緣數據安全將成為零信任相關產品的主要落地方向。

王其勇表示，SASE和ZTE應該是并存的。相較而言，中小型企業更傾向于采用SASE模型進行零信任網絡安全架構建設或改造，大型企業更愿意選擇ZTE模型降低原有網絡安全架構的改造成本。

取代虛擬專用網絡成為網絡安全未來？

自零信任大火以來，關于其是否會取代傳統虛擬專用網絡成為網絡安全未來的討論聲從未停歇。虛擬專用網絡指的是一種在公共網絡上建立專用數據通道的技術，在企業網絡中有廣泛應用。它通過對數據包的加密和數據包目標地址的轉換實現遠程訪問，可以簡單理解成是虛擬出來的企業內部專線。相較而言，虛擬專用網絡側重于解決不可信鏈路上的安全通信問題，而零信任架構在確保鏈路安全可信之余，核心解決端到端的安全防護、訪問控制權限等問題。

“我們認為零信任核心技術SDP取代虛擬專用網絡是一個大趨勢，只是時間早晚的問題。從用戶體驗而言，零信任是在虛擬專用網絡的基礎上實現以身份為中心細顆粒度的訪問控制和動態授權，相當于虛擬專用網絡的加強版，可以將網絡攻擊的打擊面控制在更小范圍內。實際上，目前很多大型企業、運營商、傳統虛擬專用網絡廠商等都已經在向零信任方向進行切換了。” 王其勇表示。

“現階段零信任和傳統虛擬專用網絡并存，主要受限于機構進行零信任改造、升級的速度。”騰訊企業 IT 安全架構師蔡東赟指出，“從長遠來看，零信任解決方案將會替代傳統虛擬專用網絡的全部功能和適用場景，而部分傳統虛擬專用網絡產品可能會根據零信任理念擴展升級成為零信任的核心組件。”根據Gartner預測，到2023年將有60%的虛擬專用網絡被零信任取代。

鄔怡則認為，零信任與虛擬專用網絡不是同一個層面的概念，不能簡單地認為零信任是替換虛擬專用網絡的一個技術或產品。“一方面，零信任仍然會使用虛擬專用網絡類似的加密傳輸技術確保數據傳輸安全；另一方面，在遠程訪問這個場景下，建議基于零信任對遠程訪問安全進行增強，或者說，遠程訪問安全方案應該基于零信任去構建，需要符合零信任原則和能力要求。”他說。

“從遠程安全訪問角度看，零信任理念的產品除具備虛擬專用網絡能力外，還具備更為細粒度的管控能力。”IDC中國研究副總監王軍民表示，“現有的零信任相關產品還無法替代site to site（端到端）方式的虛擬專用網絡產品，兩者之間有共性也有差異，互補性的融合是未來發展的一種趨勢。”