疫情如穹庐笼罩四野，居家隔离仍是目前我们应对疫情的最有效方式，业务走出去成为大疫环境下企业新的营运战略，这促使云计算更快速扩张。疫情扩大了企业远程访问的需求，疫情防护常态化让企业加速资产数字化、业务和服务纷纷上云。新的需求变化导致安全和风险管理也需要一种融合云交付的安全服务来应对安全需求的突变。零信任不再是一个让企业百感陌生的新名词，在企业纷纷规划和构建自己零信任安全网络的同时，正如Gartner的预测《The Future of Network Security Is in the Cloud》，安全厂家也开始了云上零信任服务战略的部署。

应用远程访问的业务特性决定零信任网络访问本身就不是一个点或企业内部个体的安全防护，而是基于业务完整性的、与网络域划分无关的立体防御。它通过每个访问连接的可信识别和验证来避免传统网络隧道内默认信任引入的安全风险、业务的访问安全和服务质量。

在《现代企业零信任安全构建应用指南》报告的调研过程中，我们发现不少通过部署云服务提供零信任解决方案的厂商，采访中也发现一些使用SaaS服务构建自己零信任安全访问网络的企业。根据调研和分析，目前零信任云服务主要有以下几种形式：

• 基于CDN网络构建零信任访问网络服务;
• 基于internet构建端—端的安全访问服务;
• 基于终端沙盒构建端—端的安全访问服务;
• 基于虚拟化桌面构建零信任访问服务。

一、基于CDN构建零信任网络访问服务

CDN本身是基于反向代理原理为应用访问代理接入请求和响应服务的代理网关。CDN厂商借助部署在广域网中的分发网络边缘连接优势，在各分发节点上增强零信任访问控制，可以很方便的为业务提供零信任的安全访问能力。

基于CDN的零信任访问网络的优点：

• 利用CDN网络的广域连接的优势，可以帮助企业实现广域的零信任连接;
• CDN节点间具有很强的冗余能力，临近节点的故障，不影响用户远程接入;
• 分发节点与企业数据中心分离，某个CDN节点被攻击失陷不影响业务服务器;
• 分发网络与安全访问控制集成，企业不需要再单独为远程访问控制寻找解决方案。

适用于面向公众访问的应用。

二、基于internet构建端-端的安全访问服务

在现有的物理网络中，通过端到端连接组件的部署，为用户构建安全访问连接，零信任服务商接管overlay面设备、策略的维护和管理，如下图。客户端配置DNS服务器使URL解析到服务商的控制器，经云端的控制器认证授权后建立业务的访问连接。

该方案是传统虚拟专用网应用的升级，优势在于将安全延伸到了端，会话不再像虚拟专用网一样拥挤在一条隧道中，释放了虚拟专用网隧道的负载压力，避免了相互的影响。

但从下图可以看出DP控制器前置，一旦故障或失陷，不但外部访问中断，从企业内部进行应用访问同样会受牵连。因此，SDP和网关本身的脆弱性、抗D能力、接入性能、单点故障、部署位置都是企业内网安全和业务连续性的重要保障。因此，尽管该方案通过软件定义边界为企业解决了资源单包授权和访问控制，但企业内网的风险管控仍旧显得非常重要。

适用于企业分支互联和移动终端连接企业内网，是远程办公场景的典型应用方案。