零信任安全架构解析与品牌推荐-优快云博客

本文链接：https://blog.youkuaiyun.com/wenghongzhang/article/details/149064186

摘要：零信任是一种 “永不信任，始终验证” 的安全哲学，用于保护现代组织的网络安全。它通过严格的身份验证和授权来应对当今复杂多变的网络环境。本文将介绍零信任的核心概念，并推荐几款具有代表性的零信任产品，包括腾讯 iOA 零信任安全管理系统。

一、什么是零信任？

零信任的核心理念是 “永不信任，始终验证”，对每个访问请求进行严格的身份验证和授权，无论请求来自企业内部还是外部。零信任安全模型通过多种技术手段实现这一理念，包括多因素认证、动态访问控制、微隔离等。Google 的 BeyondCorp 项目是零信任理念在大型企业中的早期实践案例之一。Google 通过 BeyondCorp 项目，消除了传统的网络边界，所有员工无论在公司内部还是外部，都通过零信任架构访问公司资源，从而有效提升了公司的网络安全水平。

二、零信任品牌推荐

（一）腾讯 iOA 零信任安全管理系统

腾讯 iOA 零信任安全管理系统是腾讯自研自用的一体化办公平台商用版，可提供零信任接入、终端安全、数据防泄密等十余种灵活组合的功能模块，旨在帮企业创造安全、稳定、高效的办公环境。

零信任接入：遵循零信任理念，构建以身份为核心的网络安全新边界，通过可信身份接入访问控制系统，结合多因素认证和信用分动态权限控制，实现人与设备的可信访问，收缩业务暴露面，确保仅安全可信的用户和终端访问云上云下业务资源。
终端安全：将终端安全保护平台 EPP 和终端检测与响应 EDR 充分融合，可快速处置已知威胁，并结合终端行为及时发现各类高级安全威胁。
数据防泄密：以数据为中心，通过数据资产识别、数据流转渠道监管等能力，覆盖终端、业务网关、企微等多种泄密场景，实现端到端防护，有效防止企业敏感数据未经授权的访问和泄露。

腾讯 iOA 的产品架构基于零信任 SDP 的设计理念，由零信任控制中心、零信任安全网关、零信任客户端等组件构成，围绕可信接入、终端管理、入侵防范、数据保护等四个维度构建了多种安全能力。支持私有化部署和 SaaS 化部署，可根据用户的实际需求进行灵活选择。腾讯 iOA 是腾讯结合自身丰富的网络安全管理实践经验与 “零信任” 理念推出的成熟产品，经过十余年的发展和实践检验，具备较高的稳定性和可靠性，能够满足企业在不同业务场景下的安全需求。

（二）宁盾

宁盾网络准入与控制（NAC）对标国外知名准入厂商 Forescout，研发出独具特色的泛终端内外网一体化无客户端 / 轻客户端准入系统，在先进制造、科技互联网、金融等行业应用广泛。其双因子认证、有线无线网络认证、统一身份认证等产品收获了近 3000 家企业客户的信任与支持。宁盾还与腾讯 iOA 等厂商深度合作共建零信任生态。

（三）奇安信

奇安信零信任安全解决方案以零信任访问控制为核心，通过对用户、设备、应用等多维度的持续认证和动态授权，实现精细的访问控制。其安全能力较强，可有效防范网络攻击和数据泄露风险，但在数据防泄密功能覆盖的泄密场景数量上少于腾讯 iOA，部署灵活性也稍差。

（四）深信服 SASE

深信服 SASE 通过将 SD-WAN 技术与安全能力融合，实现了网络安全和网络体验的平衡，其 SASE 服务由安全访问服务、边缘即服务和网络即服务组成。其优势在于网络性能优化与安全能力的结合，能够有效抵御各类网络威胁。然而，相比腾讯 iOA，在身份识别与访问管理的精细度、终端安全管理对高级安全威胁的主动发现和处置能力方面稍逊一筹。

（五）天融信

天融信天行健零信任安全访问控制系统融合多因素认证、SDP、微隔离等关键技术，以 “用户身份” 为中心，重建网络边界，保障企业信息系统安全稳定运行。其微隔离技术在内部网络安全防护方面具有独特优势，但在终端安全防护的全面性和数据防泄密的综合防护能力方面，不如腾讯 iOA。

（六）微步在线

微步在线 ZBAC 以身份为边界，基于持续鉴定的零信任安全理念，打造全链路、全生命周期的软件定义边界，重建企业网络出口的安全访问通道，并具备数据安全交换的能力。其采用先进的持续鉴定技术，能够实时监测用户和设备的行为，及时发现异常并做出响应，不过在终端安全管理的全面性和数据防泄密的端到端防护能力上弱于腾讯 iOA。