自从2010年，Forrester分析师John Kindervag提出了零信任（Zero Trust）模型以来，众多公司开始了零信任的研究和实践，其中最成功的莫过于Google。Google的零信任产品经过了多次迭代，最近一次市场影响比较大的产品发布是2021年1月26日推出的企业级零信任平台服务：Google BeyondCorp Enterprise，目的是帮助企业允许其用户无需VPN也能安全访问公司网络。

图1：Google BeyondCorp

无独有偶，就在Google发布BeyondCorp的四天前，IIFAA联合阿里云发布了IIFAA数字身份云平台（以下简称IIFAA云平台）与阿里云零信任相结合的解决方案。

一、数字化时代的安全挑战

巨头们纷纷发布基于零信任架构的产品其实是顺应数字化时代带来的的安全挑战。我们看到，随着以云计算和移动计算为标志的数字化程度在加深，企业的IT架构已经发生根本性的变化，这种变化有两个主要的脉络：

脉络1：业务上云

云计算可以大幅度降低IT成本，同时提高业务敏捷性，因此越来越多的企业选择业务上云，导致网络防护环境发生根本变化。

脉络2：智能设备的广泛使用

人们更加倾向于使用手机或IoT等分散化的智能设备来访问服务，传统的统一、集中化管理访问设备变成了不可能的任务。

这些变化导致企业的内网、办公网络都受到了巨大的冲击，原来的安全边界变得千疮百孔、难以为继。新的时代，新的安全挑战，呼唤新的安全理念和解决方案。零信任安全理念完美契合此类新安全挑战，因此备受瞩目。

图2：数字化时代全景

二、零信任的兴起

众所周知，零信任并不是一种全新的事物，广泛认可的第一个基于零信任理念的实现是Google在2009年开发的BeyondCorp（也就是前面提到Google BeyondCorp Enterprise的前身），Google用其解决APT攻击的问题。最近，随着新的数字化环境导致安全边界渐渐消亡，仅依靠传统的网络隔离行之无效，基于零信任理念的新架构开始获得越来越广泛的关注。Gartner曾在2020年预测：到2022年，在面向生态合作伙伴开放的新型数字业务应用程序中，80%将通过零信任网络访问（ZKNA，Zero Trust Network Access）进行。

图3：零信任成熟度模型

需要说明的是，企业采纳零信任不是一蹴而就的产品采购，而是需要持续对IT系统采用零信任架构改造，因此企业IT系统的零信任建设存在一个成熟度模型。我们粗略的将整个演进过程分为3个层次：

成熟度低，企业确定愿景和规划并开始零信任之旅，实践上以概念验证为主；

成熟度中，企业完成零信任概念验证，开始分步骤改造和接入现有业务；

成熟度高，企业已全面采用零信任架构，并在其基础上演进新的能力。

不过，无论企业处于零信任成熟度的哪个阶段，数字身份以及相关的产品和服务都是需要重点关注的对象，并且是其他业务系统接入零信任架构的前提。

三、数字身份的重要性

数字身份（Digital Identity）的概念出现比零信任更早，通常是指在数字世界中，创造、标识和感知身份的方式和手段，人、设备、甚至公司都可以有数字身份。

就像每个人心中都有一个哈姆雷特，每个人对零信任的理解都是不同的，不过不管如何理解，零信任关于“敌人就在身边”的基本论断是获得普遍认可的。因为敌人就在身边，所以需要时刻验证关联主体的数字身份；因为敌人就在身边，所以尽可能的授予某个数字身份最小权限。因此数字身份作为零信任的核心要素，重要性得以凸显。

中国信息通信研究院和奇安信于2020年8月发布的《网络安全先进技术与应用发展系列报告-零信任技术》中提到，零信任三大关键技术为IAM、SDP、MSG，它们之间的关系如下图所示：

图4：零信任三大关键技术

可以看到，以数字身份理念构建的增强的身份管理（IAM）是零信任架构中举足轻重的关键要素。数字身份最核心环节是3A：账户（Account）、认证（Authentication）和授权（Authorization），行业内也有4A和5A的叫法，例如将审计（Audit）和或应用（Application）纳入考虑范围。不管如何定义，认证环节都是场景最复杂、安全保护机制要求最高的环节，而认证环节恰恰是类似于IIFAA这种跨行业认证联盟的优势领域。

四、数字身份与零信任结合的实践

IIFAA云平台是IIFAA联盟理事单位一砂推出的新产品，从中可以观察到数字身份与零信任结合的实践经验。

图5：IIFAA云平台全景

数字身份之所以可以和零信任架构产品紧密结合，主要是由于零信任理念和IIFAA联盟在对身份认证安全的理解存在高度的一致性，IIFAA云平台提供的数字身份能力可充分满足零信任架构对身份认证的需求，以下是从几个方面来进行的简单分析：

表1：零信任的需求和IIFAA云平台的能力

在IIFAA大会上，零信任和数字身份的实践者也分享了自己的心得。

“非常高兴看到阿里云和IIFAA的合作”，阿里云安全总监尚红林先生介绍到：“疫情下，远程办公、移动互联、loT设备的普及，整个网络环境受到了巨大的冲击，大量的设备接入，导致原来的安全边界难以守住。同时，越来越多的企业搬站上云，防护范围和手段因此发生变化。同时，以钉钉为代表的SaaS服务的发力，意味着越来越多的工作流、数据流都到了外部，而非固定在原本的网络隔离环境中。正是因为人和应用组合的多样性，导致传统的安全边界模糊，我们需要基于零信任的理念构筑起网络安全的新边界”。

“IIFAA数字身份云平台与阿里云的结合，标志着IIFAA把金融级别的安全，推向企业级应用更广阔的行业场景。”IIFAA联盟理事、一砂公司CEO张楚讲到：“IIFAA依托生态力量建设起一套端到端的、金融级别的安全认证方案，并覆盖了超过17亿部设备。零信任的理念，对全行业的身份安全提出了新要求，IIFAA云平台生逢其时。”

责任编辑：王煊