转载：零信任安全产品的变与不变

预览

    首先定义什么是零信任安全产品。众所周知，零信任是一种全新安全理念，其内涵是消除默认信任构建自适应信任，因此凡是遵循零信任理念并实现零信任核心能力的安全产品都可以称为零信任安全产品。

    零信任安全产品这些年发生变化的是产品力、覆盖场景、用户范围等，不变的是零信任理念所涵盖的底层核心能力。有人曾经说过，可以用互联网思维和技术重新做一遍传统产业，当前如火如荼的产业数字化改造验证了这一点。可类比的是，今天我认为绝对可以用零信任理念和相关技术组合重新做一遍传统安全产业覆盖的各类场景，针对各类场景下的安全痛点提供全新的解决方案，降本增效的同时带来更好的用户体验和安全保障效果。

    笔者过去作为行业市占率第一甲方的安全负责人，有机会接触国内外各类安全产品，加上自身带领团队在零信任领域做了大量深入实践，因此有机会近距离长期观察全球范围内的零信任安全产品的发展趋势和现状，通过今天这篇文章做个概述。首先来看看零信任安全产品这些年发生了哪些变化。

    第一个变化，零信任安全产品的设计视角变化带来更深更广的覆盖场景。过去厂商基于传统的安全攻防视角来做产品，但是随着IT基础设施和服务的云化发展，为了更好地解决实际问题必须基于业务视角去设计统一安全架构，在大力建设身份底座的基础上，从办公零信任到生产零信任，覆盖更多场景。过去提到零信任很多人想到的是替换VPN的SDP，实际上这是一个非常小的零信任应用场景，也是狭义的SDP，广义的SDP应该是真正的软件定义边界，支撑实现全链路全场景的安全访问管理。

    第二个变化，零信任安全产品的工作中心即安全保护目标发生了转变，从过去以网络隔离为中心转变到现在以资源保护为中心。按照OKR的理念来理解，产品最终目标是为了保护组织的数字资产，那所有的KR和TODO都需要围绕这个目标来设定。软件定义的边界通常执行两个动作，一是采集数据，二是执行策略，这两个动作都跟每次执行动作时要保护的特定资源强相关，而不是参照传统的网络边界模型，像防火墙一样强制做一层网络隔离。另外为了更好地适配这个转变，组织需要维护良好的资源层次结构进行基于资源的安全访问管理，我们去看谷歌、亚马逊和微软等大厂的安全架构，都有大量以资源为中心的访问管理工具和服务。

    第三个变化，零信任安全产品从单点产品到一体化解决方案的转变。这里的一体化不仅仅是办公零信任中的终端安全一体化，还包括端、网络管道、边缘计算和云的一体化。安全行业的一大痛点就是过于碎片化，大量公司在单点上进行红海竞争，却忽略了甲方用户到底需要的是什么。随着零信任安全产品覆盖越来越多的场景，越来越多的单点能力可以打通进行联动从而可以实现联防联控，甚至可以不局限于安全领域如延伸到运维桌管领域。这里国内其实急需一个事实上的行业对接标准，如日志和API等的格式规范，这样很多厂商可以专注把自己的核心能力做深做强做宽，既可以方便把自己的核心能力开放出去给其它厂商使用也可以方便引入其它厂商的核心能力，不用跨界做大量同质化产品也能活得比较好。

    第四个变化，零信任安全产品的交付内容和交付对象有了新的变化。交付内容角度从过去的一个安全管理类系统向最终的安全服务转变，不管产品形态私有云还是公有云，商业模式是订阅付费还是一次性买断。这个转变更加接近于用户的真实需求，可以降低产品的使用和运营成本，也减轻用户压力和提高效率。另外产品的交付对象即最终用户也发生了变化，过去可能只是给安全团队的小范围人员重度使用，但是现在还需要提供给运维、网络、开发及其他内部员工全员重度使用，对产品力的考验不言而喻。

    简单总结变化部分，全球市场上的零信任安全产品的产品成熟度正在持续提升。从过去的孤立死板的盒子产品在向服务化、自动化和智能化的方向演进。如果大家对零信任安全产品关注比较多的话，就会发现近两三年出现的部分零信任安全产品的产品力特别强，强到同类竞品和一些号称零信任的安全产品很难在一个水平线上竞争，特别是2020年左右创立的一些新公司越来越接近零信任的本质，越来越能完整实现零信任核心能力，如TailScale、ZeroTier、Perimeter81、Twingate以及其他更为优秀的零信任初创公司。相比之下，Zscaler等公司算一个成熟的已上市的零信任安全大公司，但绝算不上最为创新的零信任安全公司。所以零信任安全产品的产品力水位线越来越高，进入门槛也越来越高，想要进入这个市场并要发展好，已经越来越难。

    俗话说外行看热闹，内行看门道。那零信任安全产品有哪些不变的底层核心能力呢？

    第一个不变，身份是最为基础的核心能力。以泛在身份为基础支撑，就可以用零信任理念构建安全的万物互联世界，这里的泛在身份是指活人身份如员工、消费者、合作伙伴、非活人身份如设备、应用和API等。事实上，身份部分目前是比较低估的板块，国外近几年逐步起来，投融资也比较活跃，但国内做得好的相对比较少，也还是洼地，可挖掘的空间依然比较多，比如说很多传统访问控制和管理场景都还是使用IP作为身份的，但大家知道在零信任理念中IP是不建议作为身份的，仅从这一点讲零信任安全产品就有非常多的创新空间。

    第二个不变，在上面讲的构建泛在身份的基础上，应用于策略执行和行为分析的动态信任评估能力也是关键的核心能力。动态信任评估在设计和实现上难度都比较大，关键点就是在于这个动态，需要在运行时体现。

    第三个不变，在上面讲的构建泛在身份和动态信任评估的基础上，全面应用基于策略的访问控制技术。它的控制粒度更细，控制更精准也更灵活，能支持更广泛的场景，通过策略实现软件定义的安全服务，助力提供自动化和智能化的安全运营能力。

    简单总结不变的部分，不变的底层核心能力才是零信任安全产品的灵魂所在，套用云原生的说法，从底层开始就面向零信任理念设计的零信任安全产品才是真正的原生零信任安全产品，并不是修修补补套个近乎就可以做到的。

    以上权作抛砖引玉，期望能够看到更多好的团队好的产品新的风气逐步起来。