Gartner发布最新中文版2023年零信任安全项目实施战略路线图_gartner 零信任

零信任安全架构采用动态的显式信任模型，取代传统安全架构中静态的隐式信任模型。安全和风险管理领导者须为零信任项目制定清晰的路线图，优化企业机构的风险态势。

主要发现

• 北美和其他地区的企业机构强烈希望采用零信任安全范式，以降低自身的安全风险，但在操作层面却很难将此想法转化为可行的战略，以及确定路线图、项目和可衡量的成果。

• 供应商大肆宣传“零信任”，让企业机构认为可以通过采购相关产品提高安全性，但零信任并非特指某一种技术。零信任作为一种范式，会对适用于各种技术的网络安全原则进行重组和强调，以应对企业机构面临的特定风险。

• 如果缺乏清晰的战略和周密的规划，企业机构的技术实施可能会缺乏完整性，造成时间和资源的浪费，并可能产生错误的安全感。战略制定的常见阻碍因素包括遗留技术、可扩展性、零信任技术实施中的集成和能力差距、企业机构的内部阻力，以及未能考虑对业务流程的影响。

• 零信任技术的实施会产生高额的运营性间接成本，特别是在企业机构没有明确定义“谁有权访问什么”，并且没有集成技术控制以适应环境变化的情况下。

建议

负责领导零信任项目以改善基础设施安全的安全和风险管理领导者，应：

• 明确具体用例，构建切实可行的零信任战略，例如通过限制恶意软件的横向移动或隔离软件供应链攻击，减少应用和服务的风险暴露，或缓解特定威胁。

• 对身份与访问管理（IAM）技术和流程等当前环境进行评估，解决相关风险，针对关键用例制定企业机构的零信任战略和要求，然后再投资新的零信任技术。

• 在项目的早期阶段，通过培养零信任思维、宣传项目对工作流和流程的预期影响，制定计划克服关键阻碍因素，如内部阻力。

• 在技术评估过程中，强调可管理性、部署范围以及对用户体验的潜在影响。为零信任技术管理员明确可扩展的流程和技术，并利用运营保障实践来衡量控制措施的有效性。

概述

边界安全范式让企业机构认为实体在受到边界控制保护的网络内是安全的，边界控制旨在将“坏人”挡在门外。但是，恶意软件通过一个内部IP地址足以接入企业机构的网络，以便进行横向移动、发现漏洞并升级权限，对企业机构发起恶意软件攻击。这正是攻击者所运用的思路。

Verizon的《2022年数据泄露调查报告》指出，2008年的数据安全事件统计数据中，勒索软件占比微乎其微，但在2021年发生的所有数据泄露事件中，其占比达到了25%。勒索软件只是滥用隐式信任的恶意软件之一，但随着数据破坏和数据渗透也变成勒索手段的一部分，勒索软件已变得越来越具破坏性。

在受到重大网络安全事件影响后，或为了应对不断变化的威胁形势，企业机构会改用零信任战略，减少自身对此类威胁的暴露，并限制威胁影响。2021年，美国联邦政府果断采取了零信任战略。2020年10月，美国国家标准与技术研究院（NIST）发布特别出版物SP 800-207（零信任架构），此后一系列文件相继发布，包括白宫发布的一项采用零信任战略的行政命令。美国行政管理和预算局（OMB）负责为联邦零信任战略提供核心资源，该战略“要求各机构在2024财年结束前实现特定的网络安全标准和目标，以增强政府防御能力，应对日益复杂和持久的威胁。”

2021至2022年，客户经常会向Gartner询问“什么是零信任”，此后许多客户已经跨越了基本问题阶段，着手制定零信任战略。拥有此类战略的企业机构现在会针对更广泛的话题，询问“如何实施零信任？”。

零信任是一种安全范式，基于身份和上下文持续评估显性风险和信任等级，以取代隐性信任，由用于优化企业机构安全态势的安全基础设施提供支持。

零信任可以作为一种思维方式或范式、一种战略或某些特定架构和技术实施加以应用。零信任架构的实施主要是为用户到应用和应用到应用的通信提供及时的细粒度端到端访问。基于设备和/或用户的身份，零信任执行细粒度的策略决策和执行机制，并根据具体上下文调整“信任”级别（见图1）。

然而，内外部的复杂因素会影响到零信任架构的有效实施。

内部影响因素包括：

• 需要在大范围内定义策略，而且应对策略变化速度的难度较大。

• 将零信任安全扩展到遗留系统和信息物理系统（CPS）的难度较大，包括IoT、OT和工业控制系统（ICS）。

• 同时部署新技术和新流程会导致技能短缺，而所需技能培训难度高，或是技能不易获取。

外部影响因素较容易发现，但更难缓解：

• 供应商的营销给所有产品都贴上“零信任”标签，导致其概念模糊。

• 标记为“零信任”的产品，价格通常比传统产品高很多。

• 支持零信任架构的产品目前处于不同的成熟阶段，供应商在情境、管理和报告方面的集成程度也存在较大差别。

所有这些因素都让企业机构很难确定实施零信任架构的最佳项目组合。更为困难的是，多数企业机构目前无法仅依靠单个供应商的产品即可实现零信任机制。零信任能力的部署通常涉及许多技术提供商，这些不同厂家的产品必须在一个系统内协同工作，以实现持续身份和上下文感知的自适应信任模型（见图1）。

图1：高级零信任体系

 

零信任的实施不可能凭空实现，同样需要依赖一流的网络安全项目，涵盖身份与访问管理（IAM）、网络钓鱼预防和感知、数据安全、合规和安全运营等项目元素。本研究从战略项目实施角度探讨了如何解决零信任问题，以及实现零信任态势的未来状态所需采取的举措，不涉及对特定供应商实施方案的评估。

图2为希望采用零信任技术的企业机构提供了路线图。

图2：零信任战略路线图概述

未来状态

安全和风险管理领导者须重点关注自身企业机构实现零信任的决定因素，以及哪些技术实施最有利于推动表1中未来状态的实现。向零信任架构迁移并不意味着要替换所有的现有技术，许多现有技术可通过新的配置，为向零信任架构的迁移提供支持。

不同的供应商和行业资源定义零信任原则的方式各异。Gartner建议首先从三个基本原则入手定义未来状态架构，然后根据需要对此定义进行添加或修改：

• 依据用户帐户和/或设备上下文以及组织资源的重要性，明确资源的访问权限。

• 对访问的用户帐户和/或设备上下文和资源进行持续的运行时评估时，必须执行所定义的访问权限。

• 组织资源之间的所有网络通信都必须受到保护，不受实际位置的限制。

并非所有企业机构在其整体环境中都能实现相同的未来状态。每个企业机构都必须：

• 在不忽略其他优先任务的情况下，明确风险优化的目的和意义，以及对零信任控制的投资力度。

• 在提升员工用户体验（UX）和生产力的同时，适当降低风险。

• 避免对零信任控制进行过度投资——不要使用不透明的风险和信任评分机制来构建复杂、细粒度的访问规则，此类机制需要管理员的高度关注和维护。

• 避免投资不足，因为如果访问仍旧采用粗粒度授权，并且很少应用自适应访问控制，就会产生错误的安全感。投资不足可能会降低部分（微不足道的）风险，但不太可能完全实现零信任控制的预期收益（见表1）。

表1：零信任态势的未来状态

来源：Gartner（2023年4月）

范围界定对于实现零信任态势的未来状态至关重要。如果对不适合的应用和用户实施过于宽泛的零信任部署，企业机构将在可扩展性和成本问题上面临挑战。Gartner收到的客户反馈表明，当策略控制过于精细时，零信任网络访问（ZTNA）和微隔离工具扩展到太多应用的话，策略粒度会随之变得非常精细，复杂性也会非常高。根据某些通用属性对用户进行分组，以扩大访问范围，并基于一组更小的描述性标签集合来定义应用，从而在精细度和简易性之间取得恰当的平衡。

此外，零信任依赖于坚实的IAM基础，企业机构和使用服务的用户之间关系若是不够紧密，可能很难建立这种基础。因此，需要首先在IAM战略中纳入身份优先的安全策略。当无法确切识别用户和设备时，将各类应用纳入零信任架构的做法注定会走向失败。

成功的零信任战略具备明确的实施范围，侧重于指定终端用户对应用和服务以及后端工作负载的访问权限。

未来状态零信任架构的核心技术

零信任需要集成多种技术，通常由不同的供应商提供。Gartner列举出构成未来状态零信任架构核心的主要技术和相关能力：

• 访问管理（AM）：在与云、现代Web和传统Web应用交互时，企业机构需要确立、实施和管理针对内部和外部身份的运行时访问控制，由此诞生了AM市场。AM流程和技术是零信任安全策略的基础，也是其先决条件。持续自适应AM、无密码身份验证，以及组合安全态势和身份威胁检测和响应（ITDR）学科的出现，正在推动AM实践的发展，并将影响零信任路线图的进展。

• 分析、检测和响应技术：随着安全信息和事件管理（SIEM）发展不断成熟，以及许多“检测和响应”技术日益普及（例如终端检测和响应[EDR]、网络检测和响应[NDR]，以及扩展检测和响应[XDR]），安全监控和分析也在不断发展。这些技术的主要功能包括安全分析、警报关联、事件响应和事件响应剧本自动化（原生功能或与专门的安全编排、自动化和响应[SOAR]工具集成）。终端和基础设施态势评估和遥测数据可以为零信任架构中基于上下文的访问控制提供支持。

• 安全服务边缘（SSE）：SSE可确保对网络、云服务和私有应用的安全访问，不受用户或设备位置或应用托管位置的限制。它还可增强终端用户访问软件即服务（SaaS）、平台即服务（PaaS）和基础设施即服务（IaaS）环境的安全性和可见性。

o   SSE产品通常具备零信任功能，作为安全访问服务边缘（SASE）框架的一部分而实施，并提供单独的ZTNA或集成的ZTNA功能。许多SSE的实施源于混合办公人员和连接分支机构的需求，但还可以扩展到允许外聘工作人员从任意位置通过经允许的设备实现连接访问。SSE服务提供了高级分析和信任评分功能，以围绕私有应用（ZTNA功能）和SaaS服务部署基于身份和上下文的逻辑访问边界。它还可以启用远程浏览器隔离，进一步将终端与从任意互联网服务下载的有害内容隔离。目前，其中一些功能需要“托管设备”，可以在这些设备上部署软件代理来评估终端状态，作为风险评分的一部分。限制性更强的功能，对“自携电脑”和其他无客户端用例而言可能益处更大。

• 网络宏隔离和微隔离：

o   宏隔离：这是一种传统的资产分类方式，基于物理位置、功能和业务重要性以及有权访问人员等共同特征加以实施。宏隔离实施要么区域太少，区域之间的访问限制数量有限，要么区域太多，导致降低有限风险的复杂性和成本过高。宏隔离通常局限于互联网协议/虚拟局域网（IP/VLAN）电路和网络内的南北流量保护。在零信任架构中，有效的网络隔离将宏隔离作为“纵深防御”的组成部分，作为备份，并在无法实施或尚未实施微隔离时作为后者的替代方案。

• 微隔离：也被称为基于身份的隔离或逻辑隔离，微隔离创建更精细和动态的策略来控制宏隔离段内的东西流量。微隔离可以利用嵌入式软件代理、硬件或基础设施叠加（虚拟机监控程序、基础设施即服务），将每个工作负载与其他各项资产进行隔离。当在完全规模化和应用层（L7级而不是L3-4级）实施时，微隔离会强制实施积极的安全模型（“明确允许”），从而降低横向移动风险。

除了上述核心技术，还有其他一些技术服务于特定用例，支持零信任技术的实施，或实施与零信任原则相一致的相邻控制。本文无法对所有可能的技术都进行详细介绍，而且未必所有的新兴技术都已得到规模化验证。强大的零信任架构不局限于核心技术，通过防御层面的策略实现增强，以减少攻击面和横向移动。

当前状态

“零信任”成为弥补安全假设和泄露缺陷的口号，多年来这些缺陷已经导致了隐式信任过度泛滥。将零信任与其他网络安全战略实现集成后，多数企业机构能够解决当前状态的问题，并全面降低风险（见表2）。此类战略覆盖到通常单独实施的数据治理和安全战略，也包括隐私和监管合规等问题。零信任战略会影响这些战略，并会依赖于数据分类和治理等行动来确定访问控制的优先级。DevSecOps、IAM、合规和安全运营只是相关领域的几个例子，这些领域有着各自的目标，有时会存在目标冲突的情况（见图3）。

图3：零信任战略触点

 

 表2：当前状态缺乏零信任态势

来源：Gartner（2023年4月）

差距分析和相互依存关系

零信任采用的最大障碍包括：

• 缺乏资金购买或升级技术，并将其整合到更强大的控制框架中。

o   如果网络安全未被视为一项业务投资，企业可能很难针对零信任的采用进行有力的业务论证。如果无法从预期业务影响的角度来讨论网络安全风险偏好，并且没有创建成果驱动型指标（ODM）以阐述提高零信任安全控制的好处，业务领导者可能会推迟或拒绝零信任项目。他们可能更愿意将资金投入到其他能提供更明确业务回报的项目中。

• 缺乏技术资源，无法购买、升级或集成技术以实现零信任态势。

o   多数企业机构不具备必要的技术或人员来实现向零信任态势的转变。很多企业缺乏网络安全人才，没有足够的时间专注于技能再培训、对现有技术的升级或对新技术的评估和采购。管理员侧重于生产率需求而非安全性，倾向于根据需要开放访问权限，而不是维护严格的零信任控制环境。

• 来自终端用户的组织变革阻力。

o   在确定访问策略和变更管理工作流时，各种规模的企业机构都会面临难题，特别是零信任架构等旨在检测和减少过度特权的项目。执行严格的最低特权访问策略的团队与VIP终端用户（如高管）或高级特权用户帐户之间存在摩擦。终端用户习惯于默认允许访问，而不是需要明确权限的访问。

• 用户身份不存在“单一事实源”，或在用户身份之间缺乏联合或集成的能力。

o   尽管用户是个人用户，但他们拥有多个账户。企业机构往往不了解从入职到离职的整个用户生命周期，也不了解所有账户信息的真实来源。必须建立关键的身份生命周期流程，例如入职员工、调动员工和离职员工的不同流程，并采用支持这些流程的技术，才有可能成功实施零信任。

• 没有可靠的资产清单，也没有基于敏感度对资产进行优先级排序。

o   多数企业机构对其整个资产格局知之甚少或一无所知。许多首席信息安全官依赖于不可靠或范围有限的配置管理数据库（CMDB）部署，辅之以从其他单点解决方案收集的数据，例如网络访问控制、漏洞扫描仪、终端管理器和其他提供资产可见性的方案。缺少可见性，企业机构就很难为零信任部署打下基础，也无法为用户和设备信任制定更有效的零信任策略。一些核心技术支持数量有限的资产发现功能，也支持新兴的网络资产攻击面管理（CAASM）技术组合，此类技术组合旨在整合资产可见性和资产优先排序工作。

• ·       技术债务阻碍了对现代身份验证和策略管理方案的及时采用。

o   现有的基础设施，如第四层包过滤防火墙或一次性远程认证拨号用户服务（RADIUS）认证，可能与零信任的实施存在冲突。管理须与传统控制共存的新技术，会增加间接成本，也会使人们对问题症结产生困惑（例如，是源于节点之间的端口阻塞，或是零信任策略范围设置不当）。一些供应商提供叠加式零信任解决方案，可以与现有控制技术进行集成，并有助于统筹零信任实施。其他供应商则承诺通过在端点之间创建隧道，将底层基础设施抽象出来。

o   零信任战略规划应纳入范围界定，明确当传统技术无法融入零信任架构时的情形。针对此类情形，网络可能会被细分，在仅能采用传统技术的网段内，在网络的入口点实施严格的访问控制。

迁移计划

基于差距分析，以及处理数百次有关零信任采用的客户问询经验，Gartner建议企业机构在采用零信任战略时，可在未来几年发挥下述路线图和措施的作用。对许多企业机构而言，零信任实施是多阶段、项目级的实施。组织变革管理、运营和高管支持是企业机构内部有效实现零信任的必备因素。零信任的某些优势可在小范围或个别实例中实现，但其向复杂大型企业机构的扩展仍需要时间（见图4）。

一些企业机构已经启动了零信任架构旅程，并且可能已经实施了本文重点介绍的一些措施。

图4：战略路线图时间表

 

高优先级事项

短期内：

• 定义零信任战略的原则，并设定零信任采用的预计范围和时间表：

o   明确企业机构将采用哪些零信任原则，以指导未来有关技术控制和控制实施的相关决策。Gartner建议开始先设计一些基本原则，然后根据需要对原则进行修改或调整。

o   建立一组零信任ODM，例如零信任控制下隔离的应用数量。如果企业机构支持网络风险量化（CRQ）实践，则衡量和量化风险，并将其视为开展业务论证和跟踪特定风险缓解进展的关键ODM。

• 启动组织变革管理流程：

o   帮助高管了解零信任目标和预期收益。

o   让整个企业机构了解零信任方法所带来的预期变化、颠覆和益处。

• 整合并改进IAM技术和流程：

o   尽可能整合身份，为企业机构识别核心的用户和设备身份。身份存储应支持联合机制，以实现与其他零信任技术控制的集成。

o   支持身份联合机制，以便利用基于标准的方法（例如，针对用户属性的OpenID Connect [OIDC]断言和用于身份配置的跨域身份管理系统[SCIM]），实现与其他零信任工具的集成。

o   强化入职员工和调动员工的身份调整流程，并根据所访问应用的属性和敏感度制定策略，以确定“谁有权访问什么”。

o   明确高级特权账户和系统，并为这些账户制定适当的策略，为部署特权访问管理（PAM）做好准备。

• 盘点设备：

o   集中管理设备库存，以确定零信任环境下的可用上下文。

o   明确设备库存能力方面的差距，并解决如何在零信任控制上下文中管理未知设备的问题。

o   定义访问控制中预计可用的设备上下文和属性。例如，对某些应用的访问是否需要设备注册和颁发设备许可证书？

o   确定预计用于访问控制的设备状态要求。例如，从补丁发布到应用于设备之间，应该不超过几天时间？

o   创建处理特例的流程，以应对设备不符合或缺少上下文、属性和状态要求，但仍需要访问的情况。

• 实现内部员工和外聘工作人员远程访问的现代化：

o   为员工确立安全的远程访问方法，利用对设备进行状态检查的能力，并通过限制在专用网络边缘打开并侦听入站连接的服务数量来减少攻击面。

o   为外聘工作人员（派遣员工、第三方）建立安全的远程访问方法，消除对全通道网络连接的需求。

• 对网络进行细分并确保网络安全：

o   在可能的情况下，启用HTTPS之外的加密协议，例如，与外部DNS提供商共同通过传输层安全协议（TLS）执行DNS。

o   对网络建立宏隔离。如果还未建立网络隔离的话，可从园区网和各分支机构之间着手建立，至少应在IT、CPS和数据中心工作负载之间实现有效的宏隔离。

• 在价值验证（POV）阶段，开展全面部署零信任技术试点工作：

o   基于风险（例如威胁暴露）选择至少一个应用，围绕该应用开展零信任安全试点。与愿意测试新访问方法的一组用户开展POV。

o   从小规模部署开始，仅允许通过零信任策略执行点进行访问，但保留备份访问方法。

中等优先级事项

中期内：

• 加强用户认证和身份验证：

o   实施更严格的IAM控制，例如无密码身份验证或第二版在线快速身份认证（FIDO2），以推进零信任试点部署。

o   实施PAM以管理重要系统（如域控制器和生产环境）中的高级特权用户。

• 扩大所覆盖设备的范围：

o   尽可能将CPS、IoT和OT设备纳入零信任实施范围内。宏隔离可能是隔离这些设备所需的最低能力，但新兴技术可能实现更严格的控制，用于某些用例的设备认证和访问授权。

o   在零信任采用过程中调整态势评估时，请审阅BYOD策略，并确定是否需要更高级别的信任才能访问敏感度更高的应用。例如，BYOD项目可能需要调整并要求注册统一端点管理（UEM）工具，或者在BYOD移动设备上隔离最敏感的企业应用程序。

• 将零信任技术的价值验证扩展到更多应用，并开始取消备份连接方法：

o   将零信任技术扩展到更多应用，方便内部员工和外聘工作人员远程访问。

o   删除价值验证应用的备份远程访问工具。

o   确保已在零信任技术栈中构建了高可用性和能力冗余，防止其成为通过策略执行点访问应用程序的单一故障点。并将这一做法扩展到所有组件，包括身份识别、设备状态、遥测以及用于执行访问策略的执行点。

• 实现网络微隔离：

o   扩展微隔离，首先从部分新的公有云托管工作负载开始，这些工作负载面临的入侵风险更高，例如具有依赖关系、可能导致潜在外部漏洞的工作负载。

o   与由应用负责人、管理员和业务负责人组成的跨职能团队合作，确定哪些工作负载将被隔离。

o   首先观察工作负载的当前行为。然后，在执行微隔离规则之前，与上述跨职能团队合作，确定哪些是应被批准的依赖关系。

o   用户自动化工具（如Ansible）能够在已建立的宏隔离区域内对工作负载进行微隔离，以覆盖需要保护的工作负载的初始范围。

• 强化运营环境，实现零信任：

o   启用事务级登录，允许设备和用户帐户访问所有数据，然后借助分析引擎进行分析。

o   针对异常的用户和设备行为建立检测机制，以应对内部威胁和帐户接管攻击。

o   调整ODM以反映取得的进展，并跟踪企业机构风险态势的改进。

低优先级事项

从长期来看，零信任会逐渐发展成熟，并大规模投入运营：

• 不断发展IAM流程，实现完全自适应：

o   采用身份优先的安全策略，实现用户认证，并引入持续自适应信任（CAT）技术，以实现更实时的自适应访问控制。例如，在访问任何SaaS或专有应用时，应结合身份和零信任网络访问控制，根据用户和设备信任评分调整访问权限。

o   将PAM的范围扩展到更多系统，并将PAM与高级特权账户的远程访问集成。

• 自动修复BYOD和CPS设备的设备状态故障：

o   随着工具功能的成熟，尽可能将更多控制技术（如全局代理、可溶解或轻量级代理）运用到端点，包括BYOD和CPS设备。

o   在可能的情况下，自动修复态势检查故障，以便根据收集、分析并与其他遥测数据源关联的遥测数据，更快地满足用户和设备的信任评分。

• 部署统一访问控制策略：

o   将零信任控制更靠近工作负载，以便在访问应用和服务时应用零信任策略，摆脱应用和服务位置的限制。

o   取消与零信任技术保护的应用进行连接的备份方法。

• 对范围内的应用实现完全零信任，并自动引入新的应用：

o   完成现有应用的迭代添加。

o   自动将新应用纳入零信任控制范围。

• 为遗留系统和补偿性控制建立飞地：

o   重新审视关于零信任范围的早期决策，并评估其余应用对于零信任架构的适用性。

o   将传统应用隔离在信任飞地内，为遗留应用构建补偿性控制。利用更高级别的检测和响应能力，更加严格地管理对零信任架构的访问和来自零信任架构的访问，以弥补缺乏基于上下文访问控制的不足。

o   在可能的情况下，加速制定计划，将传统应用更换为现代应用和服务，这些应用和服务可从零信任架构更高、更复杂的访问控制等级中受益。

• 在可能的情况下，将数据安全纳入零信任架构：

o   与数据安全项目集成，将零信任概念纳入数据安全中。例如，非结构化数据可能受到加密保护，加密受到基于上下文的访问控制的管理，这些访问控制与IAM基础设施相关联，从而实现零信任。

o   在数据安全平台和零信任架构之间构建编排，在零信任架构范围之外提升数据安全性。

• 为零信任环境构建成熟、可衡量的运营能力：

o   在设备和用户风险低于可接受阈值时，基于行为分析自动采取行动，阻止或删除访问。

o   构建能力，持续评估零信任控制下的应用和服务隔离情况。确保制定相应策略，根据企业机构的需求保障访问安全。