零信任专题研究报告：数字化时代零信任安全蓝皮报告（2021年）

前言：

零信任安全理念及架构能够有效应对企业数字化转型过程中的安全痛点，愈发得到行业关注。本蓝皮报告从基本原则、核心组件、关键技术等方面阐明零信任安全理念及架构内涵，分析零信任安全如何解决企业级用户数字化转型中的安全痛点；继而，围绕无界办公、混合云、企业异地分支接入和第三方接入多个通用场景，以及银行、通信等重点行业场景，探究零信任安全作用和优势；最后，分析了未来零信任的发展趋势。

本蓝皮报告的核心观点与重要发现包括：

数字化转型浪潮下，企业传统安全架构面临挑战。一是上云、应用架构升级等技术转型带来新的安全风险；二是工作空间和供应链协同的数字化引入更多的安全隐患；三是新零售、物联网等产品服务创新面临多样的安全威胁。

零信任安全理念打破了网络位置和信任间的默认关系，能够最大限度保证资源被可信访问，提升企业数字化转型中新 IT架构的安全性，基本原则包括：默认一切参与因素不受信，最小权限原则，动态访问控制和授权，持续的安全防护。

零信任安全架构核心包括控制和数据两大平面，以及策略引擎、控制引擎和安全代理三大逻辑组件。控制平面和数据平面将策略与资源访问时的数据交互进行分离；策略引擎、控制引擎和安全代理逻辑组件协作，实现资源访问的信任评估和权限授予，控制访问主体和被访问资源间的连接建立与否。

零信任安全和企业数字化转型相互促进，协同发展。一是零信任安全能够解决企业级用户数字化转型的安全痛点，迎接技术转型中的新安全挑战，满足数字化工作空间中用户更高的体验需求，应对产品服务创新后的海量网络威胁；二是数字化转型为零信任安全应用落地提供支撑，技术转型通过提供资源支持助力零信任高性能发展，制度转型鼓励安全架构向零信任变革。

零信任安全能够满足企业一些通用场景的安全需要，包括无界办公、混合云、企业异地分支接入、第三方接入等。同时，零信任安全还可以满足不同行业的特殊安全需求，如银行、互联网、通信、物流、能源、地产等行业。 零信任未来发展趋势，一是应用不断成熟，成为安全体系升级的重要选择；二是与原生安全理念相融，助力企业建设高防护性能、组件协同连通的全因子信任安全架构；三是与广域网络融合，为企业提供端到端安全。

一、数字化转型不断深入，以信任为核心的安全理念迎来发展机遇

（一）外力与内需共同推进企业数字化转型

1. 国家政策为企业数字化转型创造良好环境

数字化转型是数字经济时代社会基座的重要组成，国家高度重视和支持数字经济发展。中国正步入数字经济发展新时代，尤其自新冠疫情爆发以来，数字经济爆发出了强大的活力，加速数字化转型推进十分必要。

共性技术筑基础，夯实数字化转型技术支撑。数字化转型的实现技术具有共性，政府加大对共性开发平台、开源社区、共性解决方案以及基础软硬件的支持力度，从而促进共性技术的发展。

上云用数赋智，大胆探索数字化企业打造之路。全球在新冠疫情的影响之下，云上工作生活成为“新常态”，国家政策涌现加深企业充分发挥新一代信息技术在后疫情时代的影响。

2. 用户需求升级驱动企业加速数字化转型

根据海德思哲联合科锐国际的调查报告显示，企业期望通过数字化转型带来的改进中，“优化客户体验”占比最高，达到 96%，其次是期望“改进现有业务流程运营的效率”，还有超过半数的企业希望“提高企业的业务拓展速度及走向市场的能力”和“推出创新产品及服务”。

营销数字化助力消费者数据打通，致力优质客户体验。移动互联网与营销的结合使得数据、产品与用户之间的固有边界消失，企业通过收集消费者数据绘出全景用户画像，助力精准营销。

业务流程自动化需求加速企业数字化转型步伐，助力企业实现降本增效。企业中业务流程较为冗杂的两大部分分别为人力资源管理与财务管理，具有业务处理流程长、涉及人员范围广以及审核精确度要求高的特点。

供应链数字化转型助力上下游企业协同发展，为企业业务拓展与创新创造新环境。供应链数字化转型的特殊性在于变革共同性，大数据、物联网和人工智能等信息技术的发展使得供应链从传统的链条式向网状结构变化，使得企业与外部合作伙伴的对接数量大大增加，信息化平台的安全对接变得尤为重要。

（二）企业数字化转型对传统安全架构带来挑战

网络边界因不同安全级别的网络（如互联网和企业内网，办公网和研发网）相连而产生，位于数据中心内外网分界的网关处被传统安全架构视为防护的重要网络边界，通过部署防火墙、入侵检测、抗 DDoS 攻击等安全产品实现防护，来自外部的访问流量经安全产品检测后，转发至数据中心内或云上资源。

1. 技术转型面临安全挑战，传统安全架构有局限

云计算成为数字基础设施重要支撑，弱化了传统安全边界防护能力。数字经济时代，云计算作为数字经济的基础设施，安全防护问题是重中之重。

应用架构随基础架构升级不断演进，安全边界模糊。随着基础架构从物理服务器向虚拟机、容器变化，应用架构的升级迎来新契机，从单体应用架构向微服务架构变化，从应用架构形态上来看，微服务化的形态促进了分布式部署模式的发展，应用系统的分布式部署打破了传统单体架构部署于数据中心内的模式，传统网络安全边界逐渐消失。

互联网向网络空间演化，防护性能要求更高。随着科技发展，网络安全的内涵和外延不断扩大，互联网时代企业拥有明显网络边界，基础设施、数据、应用等资源位于企业数据中心内网，仅向互联网开放有限端口或完全不开放，风险暴露面小，众多威胁主要从边界外通过端口向内网发起攻击，例如网络渗透、网络劫持、数据破坏和窃取等，企业通过边界防护即可抵御绝大部分的威胁。

2. 数字化空间扩展引入新风险，传统安全架构难招架

数字化工作空间提升员工生产力，资源安全有隐患。传统的办公设备由企业 IT 统一提供，而数字化工作空间为员工提供了现代化的、个性化的办公环境，企业 IT 能向使用任意设备的员工交付其工作所需的应用和数据，为员工提供跨平台、位置和设备即时可用的体验。

供应链协作扩大数据共享空间，跨边界关键数据位置模糊。在加速信息融合共享的数字化时代，企业与供应链上下游资源协同，面临多数据中心、多云之间的数据融合。

3. 产品服务创新带来特性威胁，传统安全难以覆盖

新零售涌现，业务威胁难以捕捉。新零售是以互联网为依托，优化整合线上线下资源，全方位提升用户体验的零售模式。

物联网推进产品智能和服务变革，安全覆盖难以到位。随着企业发挥物联网智能互连的潜力，智能产品产业链衍生出一系列相关产品或服务市场，智能产品与人类的生活变得更加紧密。

（三）以信任为核心的安全理念兴起，弥补传统安全机制缺陷

传统安全机制失效背后的根本原因是过度信任，默认内网环境可信，利用防火墙、抗 DDoS、IPS/IDS 等安全产品对网络边界进行防护，用户通过边界检测后便可进入内网，在内网中的行为缺少安全防范。随着内网基础设施愈发复杂和流经网络流量种类的增加，内网面临的威胁愈发增多，内网已不可被无条件信任，基于边界的网络安全架构难以应对当下的网络威胁。

二、零信任安全护航企业数字化转型

（一）零信任安全理念：永不信任，持续验证

为最大限度保证资源被可信访问，提升企业 IT 架构安全性，零信任的核心思想是：默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。

零信任的基本原则归纳如下：

默认一切参与因素不受信：零信任的信任关系源自于对所有参与对象和行为的动态验证，所有参与对象和行为共同构成一次端到端的资源访问，这些参与对象包括网络、应用、终端、访问主体、数据、工作负载，行为包括访问请求、连接建立、策略下发等。

最小权限原则：零信任强调资源按需分配，仅授予各行为所需的最小权限。

持续动态访问控制和授权：对资源的访问控制由动态授权策略决定，动态授权策略依据参与对象的主体信息和行为信息，通过对多源信息进行分析获得授权策略，一旦动态授权策略依据发生变化，将重新计算授权策略，这一动作将在一次端到端的资源访问的全生命周期中持续进行。

持续安全防护：确保进行资源访问的参与对象处于安全状态，通过安全产品/工具，及时发现安全问题，并采取措施降低安全风险。

（二）基于零信任安全理念的逻辑架构

基于零信任基本原则，企业可建设或改造已有网络安全体系以实现零信任安全架构，利用零信任安全架构为 IT 系统提供持续的安全保障。架构如图，由零信任核心逻辑组件和内部或外部数据源组成。

基于零信任安全理念的逻辑架构核心逻辑组件主要分为三部分：

策略引擎：该组件负责信任评估，通过收集和分析参与对象和行为等多源信息，对访问主体进行持续的信任评估。

控制引擎：该组件作为策略控制点，依赖策略引擎的信任评估结果，持续判定授权策略。

安全代理：该组件作为策略执行点，为授予权限的访问主体，建立其访问主体和被访问资源之间的安全通道。在实际架构中，该逻辑组件可能由两个不同的组件构成：客户端（如用户终端设备上的代理插件等）和资源侧网关（如 Web 网关、API 网关等），或单个代理组件。

（三）零信任安全与企业数字化转型相互促进与协同发展

1. 零信任安全解决企业级用户数字化转型安全痛点

企业数字化转型中的技术转型、数字化空间扩展，以及产品服务创新为企业安全带来种种挑战，传统安全架构由于过度信任和安全产品能力瓶颈，难以适应 IT 架构持续变革下的新安全需求。基于零信任理念的安全防护体实现了企业安全架构的升级，为企业数字化转型提供敏捷高效的安全保障。

迎接技术转型面临的新安全挑战。技术转型作为企业数字化转型的重要一环，以云计算技术为承载，融合大数据、人工智能、区块链、5G 等新一代数字技术形成综合数字化平台底座，以促进企业生产力提高。

满足数字化空间中用户更高的安全需求。一方面企业内部员工生产方式多样化发展，一些生产活动不必局限于企业内网进行，远程办公常态化，员工除使用企业设备外，越来越多的使用自有设备；另一方面，企业与企业之间将开展更多的合作，进行资源与信息共享，企业内部资源面临更频繁的外部访问。

应对产品服务创新后的海量网络威胁。企业进行业务转型，促进传统产品向智能产品、智能服务、一站式服务平台等升级，以数字化平台打造更多的新型商业模式。

2. 数字化转型为零信任安全应用落地提供支撑

技术转型助力零信任高性能发展。一方面，云计算作为数字化转型基础设施，能够为零信任安全提供计算、存储、网络等丰富、可扩展的基础设施资源，零信任安全中各逻辑组件部署于云上，安全防护能力可弹性扩展，分布式部署能够保证组件高可用；另一方面，人工智能技术的应用为零信任安全海量数据智能分析提供可能，零信任策略引擎可以利用人工智能技术建立信任评估算法，同时零信任安全中心也可基于人工智能技术更加深入的挖掘潜在安全风险。

制度转型鼓励安全架构向零信任变革。制度转型强调企业人员、组织架构、文化、管理制度等的变革，网络安全作为企业运营过程中的重要组成，同样需要进行制度转型，零信任正契合了制度转型的宗旨和目标。

（四）关键技术助力零信任安全架构落地应用

1. 多源数据信任评估技术实现更可靠的用户授权

当前对用户访问的授权判断主要依赖用户访问凭据，但凭据信息存在被非法分子盗用的风险。基于多源数据的信任评估技术位于零信任策略引擎处，通过引入多种类型的数据源，尽可能全的涵盖现实环境中影响访问安全性、可靠性和可用性的所有影响因素，更准确的分析访问行为是否可信，实现综合的、持续的信任评估，并将结果传递给零信任控制引擎，由其决定最终授予访问主体对资源访问的权限。

2. 安全代理关键技术完成访问行为的统一管控

安全代理负责执行策略，统筹并管理所有连接的建立。通过拦截所有访问请求，将访问主体的信息传给控制引擎，利用其计算的访问主体的权限判定，为认证成功并具有权限的访问主体建立相应安全访问通道，兼容 C/S 架构、B/S 架构以及微服务架构等多种部署模式，满足不同场景的访问接入方式。

3. 网络隔离关键技术保障东西向流量安全

传统应用架构中，使用微服务架构开发的应用较少，大部分的交互访问流量属于数据中心内和外之间的南北向流量。随着微服务架构应用的增多，数据中心内部容器或虚机之间的东西向流量增多。微隔离是实现东西向流量安全的重要技术，实现方式有多种，究其本质均为防火墙的访问控制能力。

4. 身份安全关键技术支持高效用户管理

身份安全作为零信任安全重要的组成部分，是对资源提供可控安全保证的核心，为零信任策略引擎多源数据评估提供主要依据，纳管所有用户信息、设备参数、位置等所有代表访问主体身份的信息，同时通过登录方式、身份管理等为用户访问资源提供便捷性，核心能力主要包括：IAM（Identity and Access Management）；SSO（单点登录）；目录服务（如 OpenLDAP, Microsoft AD，第三方认证源）；MFA（多因子认证）。

5. 终端安全关键技术为多样化终端提供全方位防护

BYOD 具有移动性，其管理难度较传统个人电脑更高，比起企业统一派发设备，BYOD 更难控制设备上的自有软件，尤其破解设备更易受到恶意软件入侵。因此需要通过一些手段保证终端设备的安全，终端安全关键技术通过对多类型终端进行统一纳管，从应用运行、设备管理等方面进行全方位防护。

（五）国内零信任发展势头良好，解决方案纷纷落地实施

根据对国内云厂商和安全厂商关于零信任解决方案的调研发现，一方面，国内厂商注重零信任解决方案研发与落地实施，零信任生态已小有规模。安全厂商从自身安全专项产品优势出发，推出有技术侧重的零信任解决方案。云厂商则利用自身基础设施供应能力强且用户体量大的优势，率先进入较全面的零信任解决方案市场。另一方面，各个厂商具备多项零信任安全的核心技术，这些核心技术均由商业化的产品提供技术支撑，再配合相关技术共同组建零信任解决方案。可以发现，头部企业的能力覆盖面更加全 面、技术发展更为成熟。

三、零信任安全应用场景

（一）通用应用场景

1. 零信任促进无界办公安全便捷

无界办公打破传统以物理网络为边界的办公模式。办公不再局限于固定地点和设备，大大弱化了办公中对外部环境的依赖，从而最大化提升办公效率。

无界办公提升便捷性，安全风险随之提升。现阶段无界办公带来的安全风险主要有三个方面：一是接入类别复杂化带来的安全风险。二是服务与提供服务的基础设施二者之间关系的复杂化带来的安全风险。三是数据难以管控带来的安全风险。

2. 混合云推动零信任价值进一步发挥

混合云组建方式多样化，业务灵活具有弹性。混合云可以是云和云的组合，也可以是云与传统 IT 的组合，企业上云可以利用云的弹性使得业务灵活扩缩，利用云的无处不在使得多分支机构互连互通，利用云的便捷进行云上灾备等。

混合云释放红利，企业仍踟蹰不前。主要原因来自技术堆栈异构，增加企业上云后管理的难度。

3. 零信任保障企业分支机构安全接入

适应企业业务发展，多分支机构成为常见组织形式。一是金融、通信、电力等为全民提供服务的大型集团公司，在全国各省市设立分公司；二是互联网等迅速扩张业务的企业，在全国多省市设立办公地点；三是在全球化浪潮下，积极拓展海外业务的企业，在全球重点区域开设办事处或分公司。无论何种场景，分支机构员工都有安全访问集团内部资源的需求。

分支机构体量增大，专线或公网 VPN 无法满足当下访问需求。为实现分支机构员工的访问需求，目前通常利用专线或公网 VPN 的方式实现安全连接，但上述方式存在一定问题，一方面搭设专线价格昂贵，二是连接稳定性不够好。

4. 第三方协作为零信任发展提供机遇

数字化转型推进产业链不断优化提升，企业协同互惠成为趋势。一是企业之间在技术资源、市场资源等关键资源上进行共享，实现跨地区、跨系统、跨组织的连接；二是供应链全链条的优化协同，贯通从原材料/设备供应到产品交付销售的全流程；三是不同行业之间进一步合作融通，实现行业级的互惠发展。

各企业安全体系存在差异，第三方接入带来安全风险。与企业内部员工和系统相比，第三方接入面临更高风险，一是各企业管理机制和能力有差异，安全能力不对等。二是接入设备和系统的安全能力参差不齐，漏洞、木马等为黑客带来可乘之机。

（二）重点行业应用场景

重点行业数字化转型进程加快。一是以互联网、通信为代表的信息技术企业，数字技术基础深厚，具有良好的数字化基因，成为数字化转型浪潮中的排头兵；二是以金融、物流、地产为代表的注 重消费者服务的传统行业，利用数字化积极提升用户体验，成为传统行业数字化转型的先行军；三是以能源为代表的关系国计民生的传统行业，将数字化转型作为将本增效的重要手段，成为数字化转型的探索者。随着重点行业数字化转型的深化，零信任将为其所面临的安全问题提供有效解决方式。

1. 零信任迎接银行业金融服务创新中的安全挑战

1)分支机构接入需求增多：商业银行集团化发展，纷纷成立理财、消费金融子公司等，子公司依据业务发展分布于多地，分支机构需要购置高额专线或 VPN 组网连入集团数据中心， 用以实现多地分支安全接入的需求。

2)对外开放接口增多：随着银行开放共享、跨界经营，业务变得繁杂，对外开放很多接口，供外部合作伙伴接入银行内网资源，然而接口的增多致使难以完全进行安全审计。

3)远程办公需求增多：后疫情时代居家办公和移动办公模式逐渐被接受，访问者多使用动态 IP，无法实施网络层面访问控制。

4)不具备精细化访问控制能力：商业银行内部根据业务划分了核心区、外联区、互联网接入区和数据应用区等，区域之间通过网络层防火墙隔离，而区域内部的东西向流量无法实现精细化控制。

2. 零信任适应互联网业快速发展与迭代需求

这种现状面临如下的安全需求：

1) 远程办公和运维的诉求增多，终端管理困难：与供应商系统对接、协作研发运维，企业内各职场分部间的互访和人员流动等，都催生越来越多的远程办公和运维诉求。

2) 职员年轻化对接入体验的要求提高：除企业设备外，员工期望使用自有设备更加便捷的访问企业资源，涉及智能手机、平板电脑等各种终端。同时，互联网企业大多将研发网络与办公网络隔离，员工使用两台电脑接入网络十分不便，维护成本高。

3) 面临海量互联网安全威胁：互联网行业业务对外开放端口多，面对来自外部黑客的海量威胁，如专门针对游戏公司的黑客组织长期的渗透行为，利用云服务商云服务资源的挖矿、网络攻击等行为。

3. 零信任缓解通信业管理模式痛点

这种方式面临如下的安全挑战：

1) 业务暴露面增加：暴露在公网上的业务服务器、VPN 设备经常受到来自全球的网络攻击以及各类网络爬虫的侵扰。

2) 运维复杂：访问业务支撑系统的人员结构比较复杂，包括员工、装维人员、渠道代理商、外呼人员、施工监理单位等“四方”人员。上述人员操作水平及安全意识参差不齐，容易形成有意或无意的破坏或越权访问。

3) 传统 VPN 安全性不足，稳定性欠佳：VPN 产品只负责构建一条安全访问的隧道，但是缺乏对访问者设备及系统安全性的关注，易被网络攻击者利用通道去访问或破坏内网资源。同时 VPN 容易受到多方因素的影响，访问速度无法保持稳定性，从而影响业务办理

4. 零信任推动物流业数字化赋能安全发展

物流业业务网点离散且数量庞大，员工体量大、权限复杂，为行业网络安全建设带来了诸多挑战：

1) 瘦终端防护能力有限：瘦终端是基于行业应用定制的专用终端，相比较于普通终端设备，硬件配置较低，因此难以适配高复杂度的安全算法，导致业务系统更容易被不法分子攻击。

2) 身份/权限管理困难：物流业职场员工、快递员等员工数量众多，分布在全国办公地点和快递收发点，且快递员在配送过程中处于外网环境，访问内部业务系统需求频繁，如何根据职责权限进行有效的访问控制，实现内外网无差别访问内部业务系统十分困难。

3) 安全产品/理念相互割裂：物流业往往针对多元的业务线和安全需求，配备了多种多样的安全产品，这些安全产品之间相互割裂严重，安全理念和信息也无法通用共享，缺乏一套完整的安全管理方案，给系统带来严重漏洞。

5. 零信任助力能源业应对数字化转型安全风险

然而，在其应用云大物移智链技术完成数字化转型的过程中，安全风险也日益突出：

1) 物联网终端设备网络异构：物联网设备数量/种类众多，且在计算能力、计算资源、网络拓扑差异性很大，致使网络异构问题严重，每类业务或终端部署独立的安全接入方式会导致接入系统数量太多，给企业管理造成困难，安全网络覆盖面的扩张也给企业网络的安全建设带来了严峻的挑战。在终端接入安全方面，考虑物联网终端可能是存在多代设备并存的现象，很多遗留设备未考虑安全防护或安全防护不到位的情况。

2) 身份和授权管理复杂：相比较于其他传统行业，能源行业的身份管理面临着更加复杂的接入场景和访问模式，访问者可能是设备、人或者其他服务和应用程序，所以身份标识可能是终端 ID、应用 ID、用户 ID、用户组 ID、应用或服务类型 ID 以及服务实例 ID等；同时，能源行业业务层面与技术层面都具有高度的开放性，业务系统的设计无法预见所有的场景并进行安全设计，计算技术迭代发展也需要安全防护措施不断更新。

3) 缺少统一处理模型实现原生安全：原生安全是当前能源业应用开发的重要发展方向，通过多种技术把安全措施内嵌到业务流程中，前置安全管理，大大提高业务安全防护能力，降低安全事件发生后业务流程安全漏洞改造成本。然而，能源企业往往缺乏统一的处理模型，大大加剧了安全应用开发和安全防护的复杂度。

6. 零信任为地产业探寻第二增长曲线安全护航

地产业希望借助数字化转型的契机，通过数字化进行赋能，来助力行业探寻新的业务方向和可能的第二增长曲线。而在其转型升级和实现降本增效的过程中，面临诸多安全风险：1)人员安全意识与终端安全水平参差不齐；2)数据泄漏防范困难；

四、零信任安全趋势

（一）零信任应用不断成熟，成为安全体系升级的重要选择

国家层面，以政策推动零信任技术研究与应用。工信部发布的《关于促进网络安全产业发展的指导意见》，将“零信任安全”列入需要“着力突破的网络安全关键技术”。

产业层面,零信任产品生态丰富提升应用效能。云服务商等数字基础设施提供商、大型安全厂商、创新型安全服务商等围绕自身安全技术优势形成并不断丰富侧重点各有不同的零信任解决方案，覆盖身份安全、网络安全、终端安全、应用安全、数据安全、安全管理、工作负载安全、安全网关等中的多个领域，解决企业数字化转型不同场景下的特殊安全需求。

企业层面，有序推进零信任逐步实施。据 IDC 预测，随着应用从集中式数据中心向边缘的 IaaS/PaaS/SaaS 迁移，到 2022 年，企业采购遵循零信任规则的软件定义安全访问解决方案的预算将成倍增长，替代传统 VPN。

（二）零信任与原生安全理念融合，助力企业构建全因子信任安全架构

全因子信任安全架构由多个逻辑组件构成，各逻辑组件间通过安全信息共享、安全事件协同处置保障 IT 系统全生命周期安全。

基于零信任的基本原则，全因子信任基本原则补充了原生安全的能力：

安全产品原生化。实现全因子信任所依赖的安全产品原生化发展。第一，部署应用更加便捷高效，以组件形式虚拟化、容器化部署，或以 SaaS 形式交付，统一配置和管理，能够按需使用，安全防护能力弹性扩展，底层资源利用率高；第二，与 IT 架构深度融合，避免传统安全架构与 IT 架构割裂的问题，能够获取和整合 IT 架构的各类数据信息，深入挖掘潜在安全风险，同时适应 IT 架构特性，解决 IT 架构面临的特有安全问题；第三，开放协同，对外通过接口等方式，实现安全产品间的信息共享和联动，协同处置安全事件，对因子进行更有力的控制。

一个静态因子既可以成为全因子信任访问主体，也可以作为全因子信任资源：

全因子信任资源：被实施动态因子的一方，为企业内部资源，包括物理设备、云服务等基础设施资源，软件与系统，接口，数据等。

全因子信任访问主体：实施动态因子的一方，主要包括，一是具备发起动态因子能力的企业内部资源（基础设施资源，软件与系统，接口，电脑、打印机等终端设备），无论其是否处于企业内部网络中；二是非企业内部资源，如员工手机、平板电脑等自有终端设备，第三方应用系统等。

（三）广域网络与零信任结合，实现企业网络边缘安全接入

SASE(Secure Access Service Edge,安全访问服务边缘)将零信任与 SD-WAN(Software Defined Wide Area Network,软件定义广域网)融合，是未来企业实现网络边缘安全接入的主要选择。

SASE 为企业提供端到端安全。传统网络架构是基于数据中心的技术堆栈，主要面向实体数据中心时代用户和设备的访问。

报告原文：数字化时代零信任安全蓝皮报告（2021年）

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）