自從2010年，Forrester分析師John Kindervag提出了零信任（Zero Trust）模型以來，眾多公司開始了零信任的研究和實踐，其中最成功的莫過于Google。Google的零信任產品經過了多次迭代，最近一次市場影響比較大的產品發布是2021年1月26日推出的企業級零信任平臺服務：Google BeyondCorp Enterprise，目的是幫助企業允許其用戶無需VPN也能安全訪問公司網絡。

圖1：Google BeyondCorp

無獨有偶，就在Google發布BeyondCorp的四天前，IIFAA聯合阿里云發布了IIFAA數字身份云平臺（以下簡稱IIFAA云平臺）與阿里云零信任相結合的解決方案。

一、數字化時代的安全挑戰

巨頭們紛紛發布基于零信任架構的產品其實是順應數字化時代帶來的的安全挑戰。我們看到，隨著以云計算和移動計算為標志的數字化程度在加深，企業的IT架構已經發生根本性的變化，這種變化有兩個主要的脈絡：

脈絡1：業務上云

云計算可以大幅度降低IT成本，同時提高業務敏捷性，因此越來越多的企業選擇業務上云，導致網絡防護環境發生根本變化。

脈絡2：智能設備的廣泛使用

人們更加傾向于使用手機或IoT等分散化的智能設備來訪問服務，傳統的統一、集中化管理訪問設備變成了不可能的任務。

這些變化導致企業的內網、辦公網絡都受到了巨大的沖擊，原來的安全邊界變得千瘡百孔、難以為繼。新的時代，新的安全挑戰，呼喚新的安全理念和解決方案。零信任安全理念完美契合此類新安全挑戰，因此備受矚目。

圖2：數字化時代全景

二、零信任的興起

眾所周知，零信任并不是一種全新的事物，廣泛認可的第一個基于零信任理念的實現是Google在2009年開發的BeyondCorp（也就是前面提到Google BeyondCorp Enterprise的前身），Google用其解決APT攻擊的問題。最近，隨著新的數字化環境導致安全邊界漸漸消亡，僅依靠傳統的網絡隔離行之無效，基于零信任理念的新架構開始獲得越來越廣泛的關注。Gartner曾在2020年預測：到2022年，在面向生態合作伙伴開放的新型數字業務應用程序中，80%將通過零信任網絡訪問（ZKNA，Zero Trust Network Access）進行。

圖3：零信任成熟度模型

需要說明的是，企業采納零信任不是一蹴而就的產品采購，而是需要持續對IT系統采用零信任架構改造，因此企業IT系統的零信任建設存在一個成熟度模型。我們粗略的將整個演進過程分為3個層次：

成熟度低，企業確定愿景和規劃并開始零信任之旅，實踐上以概念驗證為主；

成熟度中，企業完成零信任概念驗證，開始分步驟改造和接入現有業務；

成熟度高，企業已全面采用零信任架構，并在其基礎上演進新的能力。

不過，無論企業處于零信任成熟度的哪個階段，數字身份以及相關的產品和服務都是需要重點關注的對象，并且是其他業務系統接入零信任架構的前提。

三、數字身份的重要性

數字身份（Digital Identity）的概念出現比零信任更早，通常是指在數字世界中，創造、標識和感知身份的方式和手段，人、設備、甚至公司都可以有數字身份。

就像每個人心中都有一個哈姆雷特，每個人對零信任的理解都是不同的，不過不管如何理解，零信任關于“敵人就在身邊”的基本論斷是獲得普遍認可的。因為敵人就在身邊，所以需要時刻驗證關聯主體的數字身份；因為敵人就在身邊，所以盡可能的授予某個數字身份最小權限。因此數字身份作為零信任的核心要素，重要性得以凸顯。

中國信息通信研究院和奇安信于2020年8月發布的《網絡安全先進技術與應用發展系列報告-零信任技術》中提到，零信任三大關鍵技術為IAM、SDP、MSG，它們之間的關系如下圖所示：

圖4：零信任三大關鍵技術

可以看到，以數字身份理念構建的增強的身份管理（IAM）是零信任架構中舉足輕重的關鍵要素。數字身份最核心環節是3A：賬戶（Account）、認證（Authentication）和授權（Authorization），行業內也有4A和5A的叫法，例如將審計（Audit）和或應用（Application）納入考慮范圍。不管如何定義，認證環節都是場景最復雜、安全保護機制要求最高的環節，而認證環節恰恰是類似于IIFAA這種跨行業認證聯盟的優勢領域。

四、數字身份與零信任結合的實踐

IIFAA云平臺是IIFAA聯盟理事單位一砂推出的新產品，從中可以觀察到數字身份與零信任結合的實踐經驗。

圖5：IIFAA云平臺全景

數字身份之所以可以和零信任架構產品緊密結合，主要是由于零信任理念和IIFAA聯盟在對身份認證安全的理解存在高度的一致性，IIFAA云平臺提供的數字身份能力可充分滿足零信任架構對身份認證的需求，以下是從幾個方面來進行的簡單分析：

表1：零信任的需求和IIFAA云平臺的能力

在IIFAA大會上，零信任和數字身份的實踐者也分享了自己的心得。

“非常高興看到阿里云和IIFAA的合作”，阿里云安全總監尚紅林先生介紹到：“疫情下，遠程辦公、移動互聯、loT設備的普及，整個網絡環境受到了巨大的沖擊，大量的設備接入，導致原來的安全邊界難以守住。同時，越來越多的企業搬站上云，防護范圍和手段因此發生變化。同時，以釘釘為代表的SaaS服務的發力，意味著越來越多的工作流、數據流都到了外部，而非固定在原本的網絡隔離環境中。正是因為人和應用組合的多樣性，導致傳統的安全邊界模糊，我們需要基于零信任的理念構筑起網絡安全的新邊界”。

“IIFAA數字身份云平臺與阿里云的結合，標志著IIFAA把金融級別的安全，推向企業級應用更廣闊的行業場景?！盜IFAA聯盟理事、一砂公司CEO張楚講到：“IIFAA依托生態力量建設起一套端到端的、金融級別的安全認證方案，并覆蓋了超過17億部設備。零信任的理念，對全行業的身份安全提出了新要求，IIFAA云平臺生逢其時?！?/p>

責任編輯：王煊