零信任作为一种安全管理哲学，近年来渐渐有了一统江山之势，作为在此领域颇有研究的专业人士，蔷薇灵动创始人严雷用新的视角，从零信任不是什么的角度给大家阐述这一话题。

在蔷薇灵动严雷看来，首先，零信任是一种方法论，它定义了一种安全管理的新的视角。它不是一个产品或者说一个技术。也就是说您买不到一个叫零信任的产品，您只能买到帮您实现零信任的某种要求的产品。

       其次，零信任是一个过程，或者说是一个方向。它不是一个静态的标准，或者说状态。零信任的建设应该是一个持续的，逐渐深入，逐渐优化的过程，也是一个在安全与业务之间的一个平衡的过程。

      最后，零信任是个广泛适用的方法论，也就是说它可以应用于整个计算架构的各个方面，在每一个细分的环境，每一个具体维度上都可以利用零信任的方式来做管理，而不是像谷歌那样将之应用于办公网，面向员工的身份进行管理。

       从图中可以看到，零信任可以作用于人，设备，网络，工作负载等所有有数据流动的主体上。事实上，相较于办公网而言，数据中心是更容易实现零信任的场景，也是有着更多核心业务和关键数据的地方，因此可以成为我们开展零信任建设的起点。

微隔离在零信任网络中的地位和价值

       对于数据中心网络而言，具体的产品技术是什么呢？一个是SDP，一个就是微隔离。事实上微隔离技术是最早的一种对零信任这个概念的具体技术实现。Forrester在2019年Q4的报告中对此也有分析。

 通过对Forrester报告的分析，大家不难理解微隔离之于零信任的价值。因为微隔离要实现的核心能力就是两条，数据中心内工作负载之间的流量可视以及访问控制。大家可以回头再看看前面那张图，零信任能力本质上就是俩能力，一个是看得尽量多，一个是管得尽量细。而恰恰这就是微隔离主要在做的事情。领先的微隔离产品，能够做在十万点级别的数据中心内做到容器间流量的识别与访问控制，甚至能做到基于进程的访问控制，这个细粒度正是零信任所要求的。

微隔离技术的当下和远方

       作为微隔离技术在国内最为积极的倡导者，也是目前唯一一家只做微隔离这一件事的厂商，蔷薇灵动做了很多的微隔离项目，服务的客户包括三桶油，五大行，三大运营商，平安、京东等等云计算领域最领先的行业领导者。关于微隔离的具体应用，蔷薇灵动可以用“多快好省”来概括：

 蔷薇灵动严雷曾表示，微隔离就是要跟得上用户计算密度膨胀的脚步。微隔离要回答的是点和点之间的关系问题。从算法复杂度的角度讲，他与所管理的点数之间是个n的平方的关系。然后再随着时间的累积，这个数量级就接近了n的3次方了。这意味着什么呢，如果管理规模扩大一倍，那么对算力的要求会扩大8倍。所以对于大规模网络的支撑是微隔离最重要的一个技术难点。

 这里一定要注意一个区别，不是说你能够部署安装多少点，而是说你能不能把这些点之间的关系完整、准确、实时地分析出来。目前，蔷薇灵动的微隔离技术可以实现用三台云主机作为算力，来支撑万点级别的场景，根据Illumio的公开资料，他们要支持一万五千点的时候，就需要6台专用的高主频物理服务器。可以想象百尺竿头更进一步会有多难。而这个能力，相较于我们用户计算体量的膨胀速度而言还是不够。

       过去评估防火墙的最主要指标是吞吐量，包括延迟，每秒新建，并发等等指标。而微隔离技术的核心指标就在于它能够管理的工作负载的规模。

 蔷薇灵动认为，容器在计算密度膨胀这个过程中扮演了非常重要的角色。一个方面，K8S的成熟和便捷，以及对于DEVOPS理念的良好支撑，使得越来越的客户在快速的拥抱容器。但是，从另一个方面，这也对各种运维技术提出了很严峻的挑战。就微隔离技术而言，一个非常大的挑战是策略计算速度问题。

微隔离是一种典型的软件定义安全结构。在K8S的环境下，由于容器的创建和销毁非常方便，使得容器的生命周期往往非常短，甚至只有几分钟。这就对策略计算的速度提出了很严格的要求，再加上往往容器环境的体量都非常巨大，就让这个策略计算的难度更高了。

       企业级产品的功能特性，符合冰山模型。我们能够看得见摸得着的功能大概只占整个产品功能的10%，90%的功能都是水面之下的非功能特性，或者我们称之为企业级特性。

蔷薇灵动严雷认为，很多时候你并不知道你缺失的企业级特性是什么，直到你在客户现场遇到他！这要求企业一个方面要始终投入最大的精力在这个方面，尽全力去提升企业级特性。另一个方面，大家在评估微隔离产品的时候，一定要关注他们是否有大规模场景的交付经验和大规模的现网稳定运转的案例，要评估他们是否真的能够支撑你的云计算发展战略。

       蔷薇灵动曾提出 “产品研发的不可能三角“这个方法论：就是在产品功能的丰富性，产品功能的专业性，以及计算开销这三者之间，你最多只能选择两者。

比如，你可以选择产品功能很丰富，计算开销也比较低，那么你的每一项功能的实现水平势必比较初级。比如面向中小客户市场的产品，往往选择这种产品战略。

 或者，你也可以选择产品功能很丰富，而且每一项功能的实现水平也很高，那么你势必需要很多的计算资源。比如我们过去的边界型安全产品，一个数据中心，只需要两台，每台设备都是4U，两台就能装满一个机柜。对于微隔离而言，一个最主要的限制就是计算开销问题。由于微隔离需要对整个数据中心内部做点到点的访问控制，所以他的控制点的分布应该是尽可能的广。

       根据不可能三角，我们就必须在功能丰富性与功能的完善性之间做个二选一的选择，再结合我们前面对微隔离所面临的技术挑战的描述，那么其实我们能选择的路就只有一条，那就是选择少而精，而不是多而粗。

       作为一家高科技创业企业，蔷薇灵动无论是从客户的要求来说，还是从对新技术的偏好来说，都有极大冲动去做更多的安全能力，但这个时候必须始终牢记产品边界，即要在超大规模生产环境下交付的企业级产品，专注于产品本身的性能优化。

近日，国内领先的零信任安全厂商杭州云缔盟科技有限公司(以下简称“缔盟云”)成功中标吉利控股集团零信任沙箱项目，将向吉利控股集团提供以零信任网络访问技术为核心的“太极界”安全产品，助力其解决数字化转型中所遇到的安全挑战。

作为业务覆盖全球的大型集团，吉利控股集团尤其重视加速数字化转型以及有效面对可能的安全问题。正如浙江吉利控股集团总裁、极氪智能科技CEO安聪慧在2021世界数字经济大会暨第十一届智慧城市与智能经济博览会主论坛上表示：“数字化将催生一场翻天覆地的变化，但无论如何变化，科技自强始终是数字经济的底色，数据安全始终是数字经济的底线，造福消费者始终是数字经济的底气。需加快推进数字经济技术自主可控，推动数字经济健康安全发展，以更加开放包容的态度，共享共建数字生态，为消费者带来更加美好的生活体验。”

随着数字化转型的不断发展和深入，吉利控股集团面临着一些新的安全挑战和问题，其IT场景越发开放，远程办公越来越普及，外部访问激增，企业访问网络边界也越发模糊，同时还出现了设备管控可信度缺失的问题，使吉利的数据传输、使用、管理的风险增加。为了有效应对以上风险，吉利控股集团从合规驱动、技术驱动、需求驱动、业务驱动、管理驱动等多方面维度出发，开展零信任项目落地，旨在保护数据安全高效的流动。

缔盟云作为国内最早布局SASE及零信任安全的企业之一，通过强大的产品实力，以及专业的技术背景获取了吉利控股集团认可，独家中标其零信任沙箱项目。缔盟云凭借多年在SASE领域的产业应用经验，打破固有内外网安全边界思维，创造全新的以数据为中心的安全边界。有别于常规的零信任安全产品，缔盟云推出的太极界提供完整的下一代安全沙箱+零信任网络解决方案。下一代安全沙箱用于隔离企业数据与个人数据、办公环境与互联网环境，防止数据泄露。零信任网络强调通过基于用户、应用、终端等的强身份验证技术保护数据，在此基础之上，缔盟云还增加了对经过零信任网络的报文验证，即为每条报文植入唯一的、动态的基因标识，拒绝非法报文的进入。不止是来自客户的认可，过硬的技术能力也使缔盟云在2022 Gartner全球《零信任网络访问市场指南》及2021 IDC创新者：《零信任之软件定义边界与微隔离技术》中成功入围推荐供应商。

在吉利控股集团零信任沙箱项目部署落地后，包含研发办公协同场景、远程系统运维场景、远程办公协同场景、外包软件研发场景、其他远程接入访问场景数据安全需求都将得到有力保障。同时，由于缔盟云“太极界”零信任沙箱灵活安全的特性，数据的高效流转也同样会得到支持。缔盟云“太极界”让安全与效率共存，用真正的零信任产品帮助客户应对云时代的安全挑战，夯实网络安全基础实现数字化转型。

免责声明：本文来源于网络，仅代表作者本人观点，与TechWeb无关。凡来源非TechWeb的新闻（作品）只代表本网传播该消息，并不代表赞同其观点。TechWeb对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任

伴随企业数字化升级加速，传统的边界正在逐渐消失，进一步加剧了零信任理念落地。为帮助企业更充分的了解这一理念，5月14日，主题为“以零信任，重建信任”的零信任发展趋势论坛将在上海举办，论坛将从产业趋势和实践案例两大维度出发，增强企业对于零信任的认知，为业务布局提供指引。

“云大物移智”等新技术的普及应用，传统基于边界的架构和解决方案已经难以适应现代企业日益复杂的网络基础设施，这无疑把“零信任”推上风口，成为当下的安全热词。正确实现零信任安全架构可以帮助企业加强安全态势、简化安全管理、改善最终用户体验，并支持现代企业环境，重建信任模式。

“零信任”正式诞生于2010年，迄今已经发展了十余年，其核心思想可以概括为：“持续验证，永不信任”，假定网络边界内外的任何访问主体（人/设备/应用），在未经过验证前都不予信任，需要基于持续的验证和授权建立动态访问信任，其本质是以身份为中心进行访问控制。

作为适应新网络空间环境的新理念，近些年在学界和业界的共同推动下，关于零信任的探讨渐成主流，也成为各类安全主体布局实践的重点。从国内来看，2019年，公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》中，将零信任列入网络安全需要突破的关键技术。同年，中国信息通信研究院发布的《中国网络安全产业白皮书(2019年)》中，首次将零信任安全技术和、云安全等同列为我国网络安全重点细分领域技术。

在顶层设计牵引下，网络安全厂商也加速布局。早在2016年，腾讯就开始在内部实践落地自主设计、研发的零信任安全管理系统--腾讯iOA。去年疫情期间，这套系统成功为自身超过7万名员工和10万台服务终端的跨境、跨城远程办公提供了安全护航。

企业示范作用的带动下，零信任市场规模将迎来快速扩张。据MarketsandMarkets预测，全球“零信任”安全市场规模预计将从2019年的156亿美元增长到2024年的386亿美元，复合年增长率为/