1.3.3　零信任的商业模式

零信任作为一种新安全理念，已经成为全球网络安全的关键技术和大趋势。目前，海外市场参与者众多，实现路径各有差异。既有谷歌、微软等率先在企业内部实践零信任并推出完整解决方案的业界巨头，也有“以身份为中心的零信任方案”的Duo、OKTA、Centrify、Ping Identity，还有偏重于网络实施方式的零信任方案的Cisco、Akamai、Symantec、VMware、F5等。海外零信任市场的商业模式较为成熟，安全即服务（Security as a Service，SECaaS）为主流交付模式。

国内零信任市场刚刚兴起，包括互联网巨头及传统安全厂商，以及网络安全新锐等厂商均结合自身业务推出零信任产品和解决方案。从目前进入该领域的厂商来看，主要有身份管理与访问控制（Identity and Access Management，IAM）厂商、软件定义边界（Software Defined Perimeter，SDP）厂商、微隔离（Micro Segmentation，MSG）厂商3个方向。当然，真正的零信任远不止于此，零信任还在发展之中。

据Gartner预测，2022年将有80%面向生态合作伙伴的新数字业务应用采用零信任网络访问。2023年将有60%的企业从远程访问虚拟专用网络（Virtual Private Network，VPN）向零信任网络架构转型。

随着国内“攻防演练”的常态化推进及更多企业的参与，减少暴露面及核心资产隐藏的需求，正在推动零信任架构成为“攻防演练”应对工具的选择。同时，零信任安全也引起国家相关部门和业界的重视。众多安全厂商均结合自身业务推出零信任解决方案，并已逐步在多个场景实践落地。从交付模式来看，考虑国内信息化发展水平及对安全的重视程度，短期内仍以解决方案为主，长期有望向SECaaS模式转变。