中國信通院：數字化時代零信任安全藍皮報告（2021年）（60頁）.pdf

1、如圖 1(1)所示，隨著虛擬化和容器技術的使用使得企業納管的資源粒度細化，邊界的概念從內外網分界處到主機邊界處，再到容器之間，傳統網絡安全邊界逐漸消失。另一方面，混合云模式的廣泛采用，弱化了傳統安全邊界的防護能力，一是公有云與私有云的交付點連接安全尤為脆弱，如圖1(2)所示，攻擊者可以通過攻擊進入更為開放的公有云，并從公有云滲透入私有云中，在內網中橫行，傳統的安全邊界無法形成有效的防護;二是多云異構平臺無法使用統一安全策略，如圖 1(3)所示，異構云平臺具有異構技術堆棧，對資源有不同的定義、標簽、分類，企業安全策略無法直接從云下平滑遷移至云上，以及在多云之間遷移。應用架構隨基礎架構升級不斷演進

2、，安全邊界模糊。如圖 1(4)所示，隨著基礎架構從物理服務器向虛擬機、容器變化，應用架構的升級迎來新契機，從單體應用架構向微服務架構變化，從應用架構形態上來看，微服務化的形態促進了分布式部署模式的發展，應用系統的分布式部署打破了傳統單體架構部署于數據中心內的模式，傳統網絡安全邊界逐漸消失?；ヂ摼W向網絡空間演化，防護性能要求更高。隨著科技發展，網絡安全的內涵和外延不斷擴大，互聯網時代企業擁有明顯網絡邊界，基礎設施、數據、應用等資源位于企業數據中心內網，僅向互聯網開放有限端口或完全不開放，風險暴露面小，眾多威脅主要從邊界外通過端口向內網發起攻擊，例如網絡滲透、網絡劫持、數據破壞和竊取等，企業通過邊

3、界防護即可抵御絕大部分的威脅。而網絡空間安全時代，網絡邊界模糊，范圍由數據中心向云端、終端等各個環節不斷延申，面臨威脅顯著增多，對安全防護能力的要求隨之提升，傳統安全防護的劣勢凸顯。一是傳統安全措施多以購置第三方軟、硬件為主，因此多外掛式部署，如圖 1(5)所示，外掛部署通?；诖韺崿F，代理本身存在一定的安全和穩定性風險，同時代理的部署也可能對云上 IT 系統造成影響;二是無法充分利用數字基礎設施原生的資源和數據優勢。傳統安全產品與已有IT 基礎設施割裂，難以獲取數字基礎設施內數據，缺少整合、關聯分析，無法深度挖掘潛在安全風險;三是傳統安全產品孤立，不具備協同工作能力。如圖1(6)所示，傳統安全產品使用復雜、成本高、相對孤立，增高了中小企業的應用門檻，安全效果不能達到預期。