当前位置：首页 > news >正文

Gartner发布2025年零信任技术成熟度曲线：实施零信任战略的相关26项关键新兴和成熟技术发展及应用趋势

news 2025/9/10 7:46:35

各组织正在制定零信任战略，并需要评估和部署零信任技术。技术的持续进步持续加速零信任技术的采用。本技术成熟度曲线为网络安全领导者提供了一个框架，帮助他们优先考虑那些最能有效提升组织零信任安全态势的技术创新。

需要知道什么

对于寻求通过最小化攻击面、标准化用户访问和启用基于风险的访问策略来降低风险的组织而言，零信任是一项战略要务。零信任并非一项单一技术或一次性部署，而是一个战略框架，用于指导跨环境实施特定的架构和技术。成功采用零信任的关键在于在其核心支柱中精心选择技术。然而，在围绕零信任的行业喧嚣中寻找真正的最佳实践与纯粹的营销炒作，是一项巨大的挑战。

零信任的关键原则包括：

积极识别和持续验证
明确执行策略
自适应访问
分割
持续监控
自动响应

鉴于零信任技术需要在人员、流程和技术方面进行大量投资，有效的零信任实施需要网络安全与基础设施和运营 (I&O) 负责人之间的密切协作。本技术成熟度曲线列出了安全和风险管理 (SRM) 负责人应优先考虑的关键新兴和成熟技术，以确保其与零信任原则以及组织的风险缓解目标保持一致。

炒作周期

零信任已迅速从一个利基安全概念转变为企业应对复杂分布式环境的基础战略。虽然零信任网络访问 (ZTNA)、网络微分段以及网络检测和响应 (NDR) 等以网络为中心的技术仍然至关重要，但它们正在走向成熟，预计将在未来两年内进入生产力平台期。

人工智能、身份验证、自动化、信息物理系统 (CPS) 安全、端点安全和后量子威胁等领域的进步将推动下一波零信任技术的采用。为了充分利用这些新兴趋势，企业必须通过以下方式重新调整其零信任策略：

利用人工智能实现自适应安全和自动化。
实施自动化以加速威胁检测、促进自适应访问并简化端点管理。
随着攻击面扩大，实施分段。
通过加密敏捷性和身份验证方法投资后量子安全，以主动应对新出现的威胁。
将零信任原则扩展到传统IT领域之外，将其应用于混合环境、信息物理系统 (CPS)、物联网 (IoT) 和边缘计算，以保障设备和分布式数据的扩散。这需要为工业和关键基础设施量身定制零信任技术。

此外，监管压力（包括行政命令和欧盟网络和信息系统 (NIS)2 指令等新规定）加上政府资金的增加，正在显著加速各行业零信任的采用。

图 1：零信任技术成熟度曲线，2025 年

优先级矩阵

为了帮助组织根据效益确定技术投资的优先级，我们提供了优先级矩阵。虽然效益是关键考虑因素，但适用性、预算、实施时间和风险缓解等因素也同样重要。优先级矩阵通过明确高效益、长期投资与短期机遇之间的权衡，帮助领导者做出明智的、面向未来的决策。它将创新的潜在优势与其在技术成熟度曲线上的位置进行映射，为技术投资和应用规划提供战略指导。

目前，预计未来两年内不会有任何转型技术能够被主流采用；相反，企业将在此期间采用成熟且影响深远的技术。数字化转型需要简化通过安全访问服务边缘 (SASE) 交付的关键网络和安全服务的交付和运营，并在两到五年内实现主流采用。此外，在此期间，日益增长的隐私问题和日益严格的监管要求将迫使企业采用去中心化身份解决方案来转变其身份策略。

在未来两年内，各组织预计将把 OpenID 和网络微分段的采用纳入主流，利用这些技术显著改善用户体验并加强安全措施。

2025 年零信任技术优先级矩阵

效益	距离主流采用需要的时间
	不到2年	2到5年	5到10年	超10年
转型		去中心化身份萨斯
高的	网络微分段 OpenID 连接	Agentic AI 备份 CPS 安全远程访问加密敏捷性后量子认证安全服务边缘通用 ZTNA	访问管理人工智能自主端点管理 CAEP CPS保护平台 CPS 分区和分段物联网身份验证后量子密码学
中等	ZTNA	咖啡店网络端点访问隔离NDR XDR	自动移动目标防御自动化安全控制评估
低的			外联网即服务 MASQUE

来源：Gartner（2025 年 8 月）

技术萌芽期

1、Agentic AI 备份

效益评级：高

市场渗透率：目标受众的1%至5%

成熟度：培育期

定义：代理式人工智能 (Agentic AI) 是一种基于使用一个或多个软件实体构建人工智能解决方案的方法，这些软件实体被完全或至少部分归类为人工智能代理。人工智能代理是自主或半自主的软件实体，它们使用人工智能技术在其数字或物理环境中感知、决策、采取行动并实现目标。

为什么重要

Agentic AI 备份和数据保护平台有望通过增强网络威胁检测和响应、成本和运营效率以及通过 AI 驱动的自主操作进行恢复，为备份管理员提供智能支持。该技术旨在帮助企业简化其恢复能力和效率，尤其是在数据保护和恢复方面对备份专业化关注度逐渐降低的环境中。

商业影响

Agentic AI 备份：

自动执行日常管理任务，让工程师可以进行更具战略性的工作。
使用人工智能从数据点自主决策而不是人工干预来标准化恢复操作。
支持自主开发和测试标准/网络场景的恢复计划，确保流程可靠。
通过基于数据变化率、重要性和应用程序映射的动态调度，改进诊断和恢复以减少RTO 并提高 RPO 。

驱动因素

各组织正在寻找机会将Agentic AI融入其运营中，以增强工作流程和管理功能，减少熟练行政人员对人工接触时间的需求。
Agentic AI 备份解决方案能够基于众多数据点做出明智的决策，以最少的人工干预提供故障解决方案，从而减少故障排除时间，并降低对供应商支持的依赖，例如备份失败、恢复失败或性能问题。它还提供指导性帮助，帮助解决问题，并收集数据以生成支持工单，从而确保强大可靠的恢复支持。
识别运营和成本效率低下并定制响应以满足组织的自主恢复目标的要求越来越受到关注，提供全面的监督和简化的运营。
用于备份的 Agentic AI 可用于创建恢复计划，并针对标准和网络恢复场景系统地执行这些计划，确保准备和恢复能力。
它通过自主检测、诊断和解决基础设施问题来增强 IT 运营，减轻 IT 团队的负担并最大限度地减少停机时间。
将Agentic AI 集成到运营中，可以改进预测性容量规划和资源分配，提供对系统健康状况、网络性能和使用模式的实时洞察。这有助于企业优化 IT 资源并降低运营成本。
网络威胁的复杂性和频率不断增加，需要主动智能异常检测和更快的自动恢复过程，而无需持续的人工干预和监控。

障碍

Agentic AI备份的实现尚处于萌芽阶段，目前备份和数据保护市场上可用的生产功能很少。
客户和供应商之间存在数据安全和隐私方面的担忧，即客户的Agentic AI如何共享和使用客户数据进行备份服务。
在客户愿意将部分运营决策控制权移交给人工智能代理之前，供应商解决方案需要证明其可靠性。展现出稳定的性能和可靠性对于采用至关重要。
使用Agentic AI进行备份会产生新的潜在攻击面。AI平台本身可能成为攻击目标，其决策能力也可能受到损害、操纵或毒害。

2、后量子认证

效益评级：高

市场渗透率：不到目标受众的1%

成熟度：新兴

定义：后量子身份验证 (PQA)，也称为量子安全身份验证 (QSA)，是一个横向类别，涵盖任何结合后量子密码学 (PQC) 来缓解量子计算攻击的身份验证方法。这项创新涵盖了不同类型的身份验证，尤其是基于公钥密码学 (X.509、FIDO2) 的防网络钓鱼 MFA，同时也涵盖了移动推送方法。

为什么重要

身份验证应为身份声明提供可信度，足以将账户接管 (ATO) 风险控制在组织的风险承受范围内。到 2029 年，量子计算的进步将削弱并打破支撑许多身份验证方法的传统非对称加密技术。这将显著降低这些方法所能提供的可信度，增加企业面临的 ATO 风险。因此，迁移到后量子身份验证是一项至关重要的任务。

商业影响

PQA 对于身份和访问管理 (IAM) 以及其他网络安全领导者至关重要：

在所有行业垂直领域和地区
在多个用例中采用基于非对称加密的身份验证方法
为了保护这些方法免受基于量子计算进步的攻击
避免增加组织面临的 ATO 风险以及随之而来的数据泄露、财务损失等。

驱动因素

公钥加密技术支撑着三种重要的身份验证令牌：移动推送、X.509 和 FIDO2；后两者提供防网络钓鱼的 MFA。
移动推送是最流行的身份验证方法之一。移动推送应用通常嵌入公钥凭证，用于对用户响应进行签名，并提供数据完整性和数据来源身份验证，从而确认用户持有令牌（智能手机）。
防网络钓鱼 MFA 正日益受到客户关注，因为它可以规避其他基于令牌的 MFA（包括移动推送）的漏洞。X.509 和 FIDO2 版本均集成了公钥凭证，该凭证由用户独自持有，可通过本地 PIN 码或生物识别技术激活。
密钥破解是新一代商用量子计算机力求解决的数学上可行问题之一。Gartner 预测，到 2029 年，量子计算将使传统的非对称加密系统变得不再安全。
在许多类别的系统中，替换现有算法的工作已经开始，并且由于 NIST 已经确定了新的量子安全算法并起草了经典非对称算法的弃用日期，预计替换工作将会加速。
目前（2025年7月），商用PQA（即采用量子安全算法的身份验证）通常只有一家专业供应商提供。因此，它在技术成熟度曲线上仍然处于最左侧的位置。
未来两年，PQA 的采用速度可能会比较缓慢。然而，Gartner 预测，随着主流身份验证供应商将其 PQA 工具推向市场，PQA 的采用率将迅速提升，使企业能够在 2029 年截止日期之前轻松实施和推广 PQA。因此，我们预测 PQA 将很快达到生产力平台期。
在 PQA 普遍可用方面落后的供应商可能会失去客户，而客户将寻求能够及时实施和推出的新合作伙伴。

障碍

组织可能缺乏关于易受攻击的身份验证方法的使用地点以及利益相关者的完整清单。协调所有相关方之间的变更可能很困难。
PQA主要依赖于 FIDO 联盟和个人身份验证供应商，但大多数计划还处于早期阶段。
FIDO2 和 X.509 方法依赖于算法标准化及其与各种协议的集成，以及操作系统、浏览器、设备（尤其是可信平台模块 [ TPM ]）和其他基础设施的更新。一些专有产品可能无需满足此类先决条件。
身份验证供应商可能会延迟将 PQC 集成到其工具中。PQA 必须尽早全面上市，最好在 2027 年之前，以便组织能够及时迁移到 PQA 。如果供应商延迟，客户应该寻找其他供应商。
实施和推出 PQA 意味着更新身份验证器并将其重新提供给每个用户，这是一项重大的后勤工作，可能会为 ATO 攻击带来机会。
供应链限制可能会影响采购新的符合 PQA 的硬件令牌，从而影响时间表和预算。

3、端点访问隔离

效益评级：中等

市场渗透率：目标受众的1%至5%

成熟度：成长期

定义：端点访问隔离 (EAI) 由客户端应用程序组成，用于促进对应用程序和数据的安全访问，同时将该端点与其访问的系统隔离。该技术可以部署为远程访问代理、托管应用程序或独立的虚拟端点。它可以在无法可靠安装客户端管理或安全软件的地方扩展访问权限。

为什么重要

EAI 将远程访问扩展到组织无法直接保护的设备。Windows和macOS平台缺乏与移动设备上安全自带设备 (BYO)相同的控制机制。由于缺乏直接控制，将数据与本地访问隔离成为了一种强制手段。EAI工具依赖客户端应用程序提供设备状态监测证明，使其在访问资源时能够持续保持身份验证和监控。EAI 工具是一类独立于传统 VDI 或 DaaS 工具的技术，可以作为这些工具的访问层，提供全面的隔离解决方案。

商业影响

用户跨多设备混合办公可能需要在无法进行本地控制和管理的情况下安全地扩展访问权限。EAI结合了端点安全、审计和数据隔离功能，使组织能够对难以保护的设备提供安全访问。EAI工具旨在作为传统但成本高昂且复杂的 VPN 或 VDI 解决方案的轻量级、易于安装的替代方案。该技术专注于本地安装的访问客户端或隔离的计算环境，作为安全呈现内容和应用的启动点。

驱动因素

传统的 VDI 和 DaaS 解决方案对于呈现主要通过本地应用程序或浏览器访问的应用程序来说成本高昂且复杂。
组织正在探索向更多用户和用例提供访问权限的方法，但需要一定的可见性和询问不直接受组织控制的设备的能力。
传统的VPN远程访问虽然具有成本效益，但可能难以支持动态、零信任访问策略，并且无法根据用户或设备环境动态调整访问。
组织可以将承包商和其他外包工人从物流复杂的公司拥有和管理的硬件转移到由 EAI 代理访问公司数据的非托管本地设备，从而减少运营开销。

障碍

EAI由多种技术和架构组成。有些工具专门针对特定需求（例如增强用户身份验证），因此吸引力可能比较有限。
虽然 EAI 工具提供了各种各样的访问选项，其中数据和应用程序真正与本地客户端隔离，但这些工具的性能和用户体验权衡可能认为直接管理的传统设备是更可行的选择。
安全企业浏览器技术日趋成熟，通常被认为足以保护 EAI 常用的用例。成本和用户体验可能会根据具体情况决定是否采用 EAI。
用户不愿意在个人设备上安装公司技术，尤其是监控使用情况和性能的代理。

4、外联网即服务

效益评级：低

市场渗透率：不到目标受众的1%

成熟度：培育期

定义：外联网即服务 (ExtranetaaS) 是一种以服务形式提供外联网功能的网络软件产品。外联网是一个逻辑网络区域，用于连接多个独立方，这些方通常位于不同的管理域中，并且通常具有不同的需求。有时，这些网络也称为 B2B 网络。

为什么重要

ExtranetaaS 改进了企业在其环境中启用外联网的方式。随着企业越来越多地使用公有云和 SaaS 服务，它简化了在现代环境下设置和保护外联网运行的能力。

商业影响

ExtranetaaS允许公司、合作伙伴、客户和其他外部方访问网络上的数据和系统。它使这些方能够连接并交换必要的信息，例如应用程序组件或金融交易，并有助于连接具有共同利益的独立方。

驱动因素

传统上，外部网络通常建立在数据中心，靠近应用程序和数据，使用专用电路或 IPsec VPN。将应用程序迁移到公有云和SaaS正在促使企业重新思考其现有的外部网络方案。
原生公有云提供商不提供强大的高级网络配置来支持复杂的外联网连接场景，从而促使企业考虑采用ExtranetaaS解决方案。
组织希望用更加面向 API 和软件的解决方案来简化和替换物理基础设施，包括路由器、防火墙和 VPN 设备。
组织还希望消除昂贵的专用线路，例如 MPLS 或专用宽带。
ExtranetaaS提高了连接外部业务实体的速度。
随着企业将其应用程序迁移到云服务，规模较小且初创的网络供应商正在积极瞄准企业，帮助他们解决技术和安全挑战。
具有重叠 IP 地址且需要连接的企业正在将ExtranetaaS视为一种选择。

障碍

ExtranetaaS对于大多数企业来说是一个陌生的技术和术语。
外联网通常支持关键任务环境，因此需要适度的增量变更。这与向ExtranetaaS的转变形成了鲜明对比，后者需要由不太知名的供应商提供纯软件即服务 (SaaS)。
公有云提供商的原生功能足以满足某些外联网用例的需求。
组织可以使用云数据中心的主机托管，使服务更接近公有云、SaaS 和合作伙伴服务，而无需使用ExtranetaaS 。
大多数企业网络团队对 Extranet 部署采取“设置完毕后就忘了”的态度，不愿重新构建整个部署。这促使他们适度地逐步升级现有 Extranet，而不是迁移到 ExtranetaaS。
供应商解决方案的供应还不成熟，因为许多专注于该技术的供应商都是规模较小、未经证实的公司。

5、自动移动目标防御

效益评级：中等

市场渗透率：目标受众的1%至5%

成熟度：新兴

定义：自动移动目标防御 (AMTD) 是一种不断改变数字资产的系统资源和配置（例如运行时内存、网络配置、可用二进制文件等）的技术，通过使系统变得难以预测来增加威胁行为者的利用复杂性。

为什么重要

AMTD：

通过不断转移攻击面，为组织提供动态、自适应的防御，使威胁行为者更难利用漏洞。
充当主动层来加强端点保护，特别是当复杂的攻击绕过传统的 EDR 时。
通过引入不可预测的系统变化来破坏攻击者的侦察和利用，使防御者保持领先。

商业影响

ATMD：

通过减少手动安全工作量并最大限度地减少误报来降低运营成本。
通过减少勒索软件和零日攻击造成的停机时间来提高业务连续性。
降低医疗保健、金融和基础设施等关键领域数据丢失和声誉受损的风险。
加速事件响应和恢复，使精益安全团队能够以更少的资源保护更多的东西。

驱动因素

由于传统的检测和响应工具被绕过，组织面临越来越多的违规行为，从而推动了对 AMTD 等第二层端点防御的需求。
随着端点环境日益复杂，传统防御措施难以应对。企业需要动态解决方案来持续混淆攻击面，从而显著提高攻击者横向移动或利用端点的难度。
诸如不良的端点配置和广泛的凭证重用等持续存在的问题，使组织面临身份和访问风险。尚乘通过阻止攻击者的侦察和横向移动来应对这些挑战，帮助组织弥补关键的安全漏洞。
AMTD 通过自动化攻击面管理、减轻安全团队的负担并更快地响应新出现的威胁来提高运营效率。

障碍

集成复杂性：将 AMTD 与现有安全架构（例如 IDS/IPS 和零信任）一起部署会对运营产生重大影响，需要专业知识和分阶段推出以最大限度地减少工作流程中断。
平台限制： AMTD 缺乏对 Linux、Apple macOS和虚拟化环境的全面支持，迫使组织维持分散的安全策略。
感知冗余：尽管 AMTD 具有独特的预防能力，但安全团队经常低估其价值，错误地认为它是多余的，因为其功能与现代 EDR/EPP 工具重叠。
技能短缺：IT 团队通常缺乏使用 AMTD 特定工具的经验，因此需要在培训方面进行大量投资以实施动态防御策略。

6、自主端点管理

效益评级：高

市场渗透率：不到目标受众的1%

成熟度：新兴

定义：自主端点管理 (AEM) 是一种新一代方法，它由高级端点管理工具中的新功能提供支持。AEM 利用配置、合规性、风险、性能和体验数据，智能地执行常见的端点和数字员工体验 (DEX) 管理任务。AEM 的第一个基础用例是自主修补，它可以加速补丁部署和合规性，并减少 IT 开销和 DEX 的性能下降。

为什么重要

最终用户服务和数字化工作场所领导者同时面临着加快修补速度和维护 DEX 的压力。AEM 正在加速端点修补，并承诺简化和自动化配置管理，同时保护 DEX 并降低 IT 开销。

商业影响

终端用户服务领导者可以进一步自动化终端和DEX管理任务，并将精力重新分配到业务增值工作上。具体影响包括：

通过自动解决阻碍员工生产力的问题来减少 IT 开销。
根据供应商、行业或自定义基线强制实施端点配置标准。
通过自动化补丁和配置管理降低网络风险。
根据策略和角色实现软件和配置的自动化部署。

驱动因素

终端设备、操作系统和应用程序数量的不断增长让 IT 人员不堪重负。
在很大程度上，受人工智能和机器学习能力增强的推动，技术供应商加快了开发和发布节奏，而 IT 却无法跟上步伐。
网络攻击的增加要求更快地部署补丁、更好地遵守设备配置以及与供应商生命周期更加紧密地协调以减少漏洞。
随着许多人将重点从以技术为中心转向以员工为中心的体验，DEX 实践和工具的采用继续快速增长。
基于云的端点管理和 DEX 工具正在展示 AI或ML 驱动的智能如何快速处理大量数据、提供可操作的见解和建议并执行自动化。
开发和维护常见管理任务的自动化以及应用标准策略和配置非常耗时，并且需要跨多种工具进行集成。
最终用户服务领导者努力利用和整合来自其他端点管理工具和代理的数据。
AEM 直接支持最终用户服务领导者的速度和敏捷性目标。
AEM 用例有望解决应用程序管理问题并取代人工执行常规 IT 流程。

障碍

过于复杂的环境，包含太多缺乏集成的不同工具。
高度定制的环境需要在部署之前对每个更新进行广泛的测试。
存在大量技术债务的脆弱环境，包括依赖于不受支持的浏览器、运行时环境或插件的遗留操作系统或应用程序。
低到中成熟度的组织缺乏能力、工具和角色来确保已经部署了更多基本流程和概念。
设备操作系统的限制或控制可能会禁止体验和自动化功能。
AEM 无法在本地运行，因此不支持云的组织。
缺乏敏捷方法和自动化技能经验的组织以优先考虑控制和定制的传统思维方式运作。
由于缺乏足够的数据来训练 ML 和 AI 模型来执行自动化活动，AEM 工具不太可能解决小众用例。

7、自动化安全控制评估

效益评级：中等

市场渗透率：目标受众的1%至5%

成熟度：新兴

定义：自动安全控制评估 (ASCA) 是一种安全技术，它持续分析、确定优先级并优化技术安全控制措施，以降低组织面临的威胁风险。ASCA 可以识别安全控制措施中的配置偏差、策略和控制缺陷、检测逻辑漏洞、不良默认值以及其他配置错误。然后，它会根据已发现的漏洞，推荐并确定补救措施的优先级，从而提高组织抵御特定威胁的安全性。

为什么重要

如果没有最佳配置，安全工具很可能会无法记录、检测和阻止安全威胁，从而导致安全投资回报率低下。安全堆栈的规模和复杂性不断增长，加上安全技能的缺口，使得在没有自动化的情况下维持安全控制的最佳配置变得更加困难。快速变化的攻击技术使所需的控制和配置组合变得如同移动目标，需要持续改进，这进一步加剧了这些问题。

商业影响

ASCA 通过优化技术安全控制并减少威胁暴露，降低了组织的业务中断和财务损失风险。实施 ASCA 技术的组织可以提高员工效率，最大限度地减少人为错误的影响，充分发挥安全投资的潜力，并提高组织在面临业务流失时的韧性。

驱动因素

技术安全控制配置错误和过度依赖默认设置是攻击持续成功的主要原因之一。
组织缺乏所需的资源和专业知识，无法在没有自动化的情况下充分理解和解释安全堆栈中的数千个配置设置，更不用说了解由此产生的保护级别了。
不确定的威胁，例如威胁行为者使用生成式人工智能，可能会加剧对现有安全控制进行更频繁优化以跟上攻击变化速度的需求。
持续评估和优化针对特定威胁的安全控制（而不是最佳实践）是一种有效的风险缓解策略，最终可以降低组织的风险暴露。
针对最佳实践设置进行手动配置审查和偶尔的渗透测试是不够的，因为可能会影响用户体验、范围有限且频率低。
有效改善安全态势需要超越合规性驱动的评估和专注于评估安全控制的唯一存在的评估。

障碍

ASCA 技术可自动评估技术安全控制措施及其配置，无需主动验证假设。因此，最终用户必须验证关于有效解决方案的发现和建议。
基于ASCA调查结果，完全自动化实施改进流程短期内不太可能实现。业务中断风险的增加使得大多数组织对完全自动化的想法犹豫不决。
建议实施进度缓慢，加上 ASCA 技术持续进行的评估，可能会导致建议堆积如山。安全主管可能已经不堪重负，再增加一个调查结果来源，可能弊大于利。
根据 ASCA 的发现实施改进需要在人员、流程和技术方面进行额外投资，并相应增加预算。然而，ASCA 技术很少与专门的预算相匹配，通常是在现有安全工具的基础上额外支出。

8、MASQUE

效益评级：低

市场渗透率：目标受众的1%至5%

成熟度：成长期

定义：基于 QUIC 加密的多路复用应用底层 (MASQUE) 是由互联网工程任务组 (IETF) 领导的一项提议标准，可实现流量的安全传输和代理。

为什么重要

MASQUE是现有加密协议（例如 IPsec、WireGuard 和传输层安全协议 ( TLS )）的替代方案。它提高了两个端点之间通信的性能、安全性和隐私性。因此，MASQUE 有可能为多种产品类别提供统一的基础，包括基于 VPN 的远程访问、安全套接字层 ( SSL) VPN和零信任网络访问 ( ZTNA ) 产品。

商业影响

零信任是大多数组织寻求降低其环境中某些网络安全威胁风险的首要任务。MASQUE提供统一的协议来支持网络部署，可以帮助加速或扩展组织的零信任部署。

驱动因素

与其他协议相比，MASQUE 可以提供增强的隐私性、改进的性能和灵活性。
MASQUE 建立在现有协议之上，包括 HTTP 和快速 UDP 互联网连接 ( QUIC )。
QUIC 是 Microsoft Office 和Google Workspace的默认传输协议，但被许多安全设备/服务（包括安全服务边缘 ( SSE)和防火墙）阻止。MASQUE 有助于解决这一问题，因为它为企业提供了一种检查和监管基于 QUIC 的流量的机制，而现有技术无法做到这一点。
思科、Cloudflare和爱立信等供应商正在推动人们对 MASQUE 的兴趣和认知。
三星、谷歌和苹果等移动操作系统供应商正在将 MASQUE 纳入其操作系统中。
MASQUE 可以提高安全性，因为它可以加密流元数据，允许代理连接而不进行拦截，改进分段并提供加密以保护传输中的数据。
MASQUE 通过确保任何一方都无法看到流量的来源和目的地，增强了最终用户发起的加密流量的隐私性。
与其他协议相比， MASQUE应该能够提高性能和吞吐量，因为它利用了性能卓越的 QUIC。
MASQUE 与协议无关，这意味着中间节点无需理解封装的协议。这将有助于解决网络地址转换 ( NAT )和防火墙兼容性问题。

障碍

MASQUE 不是一个完全批准的标准；它是标准和提议标准的集合。
由于 MASQUE 是一个框架而非完全批准的标准，因此特定于供应商的 MASQUE 实现可能无法互操作。
企业对 MASQUE 的认识和经验有限。
网络硬件（包括负载均衡器、网络防火墙和网络接口卡）对 MASQUE 的原生支持有限。
为了实现最佳性能，需要支持 HTTP/3 和 QUIC，而目前 HTTP/3 的采用有限。

9、访问管理人工智能

效益评级：高

市场渗透率：目标受众的1%至5%

成熟度：新兴

定义：用于访问管理的人工智能 (AI) 是指各类人工智能（机器学习、生成式人工智能 [GenAI] 和代理式人工智能）的应用，专门用于访问治理和管理。常见的应用包括快速高效地识别和解决过度访问（最小权限违规）和访问不足（未配置的合理访问）的情况，包括提出规则以标准化、自动化和管理权限。

为什么重要

几乎所有组织都发现，即使已经部署了身份治理和管理 (IGA) 工具，也难以有效地管理访问权限。不断变化的员工队伍、业务应用程序和 IT 系统，再加上应用程序和系统中缺乏针对授权/权限模型的标准方法，使得制定有效的访问策略几乎不可能。人工智能方法可以帮助提高访问管理的可管理性、可持续性以及目标成果的整体进展。

商业影响

将人工智能应用于访问管理（包括访问治理）流程，可以减少手动工作，优化对非身份和访问管理 (IAM) 团队的授权，并加快为难以跟上组织变革和转型步伐的身份和访问管理 (IAM) 团队交付价值。相比仅依靠人工决策，使用人工智能进行访问管理可以更快地改进访问策略。这可以同时提升 IAM 项目在业务支持、安全性和合规性方面的成果。

驱动因素

即使有了访问管理和治理自动化工具（AI 之前），识别和配置规则/策略以解决最小权限问题和访问配置自动化需求，对于大多数 IAM 程序来说，工作量仍然太大。访问策略的应用可以自动化，但在大多数组织中，策略的分析、建模和配置仍然是手动的。
人工智能（包括但不限于 GenAI 和代理 AI）能力的快速发展，使得AI 能够更好地处理大多数组织中的海量访问数据。这还能更快地提供访问策略改进建议（访问建模），并更迅速地响应组织和 IT 系统的变化。
大多数 IAM 程序都具有安全授权，以确保分配的访问权限得到妥善维护，并尽可能遵循最小权限原则。许多程序成功地解决了个人离开组织时访问权限终止的问题，但大多数程序即使使用领先的 IGA 工具，也无法成功维护良好的访问卫生，尤其是在移动/转移活动方面。用于访问管理的 AI 可以更快地响应变化并识别需要解决的卫生问题。
大多数 IAM 程序还具有业务赋能功能，即尽快授予合理访问权限（适时访问）。这确保业务高效运营，然而，大多数组织在实现此目标的自动化方面进展缓慢，几乎看不到完全实现目标成果的“前景”。应用 AI 可以加速访问自动化进程。
由于缺乏跨系统授权和权限管理的标准，IAM 团队即使已经确定了如何将一个系统的访问权限标准化，也无法立即将其应用于下一个系统。所需的访问建模和分析工作量之大，超出了大多数 IAM 团队的交付能力，但 AI 方法的能力却丝毫不会受到影响。

障碍

在处理不存在的数据方面，机器智能并不比人类智能更胜一筹。因此，人工智能在每个组织中对访问管理的价值将仅限于组织能够提供必要的身份、授权和访问事件数据来驱动人工智能模型的用例。组织需要改进身份与访问管理 (IAM) 数据管理，才能充分发挥这一创新的价值。
所有人工智能都是概率性的，而非确定性的。它无法为所有客户用例推荐正确的访问权限。对风险和合规性要求较高的组织可能难以接受人工智能在访问策略和决策方面的建议。
人工智能的实施仍然成本高昂且复杂，包括根据用例选择模型、必要的调整以及满足信任、风险和安全管理 (TRiSM) 的要求。虽然能力正在快速提升，但对于供应商和客户公司而言，获得这种能力的成本仍然很高。

期望膨胀期

10、CPS 安全远程访问

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：新兴

定义：信息物理系统 (CPS) 安全远程访问解决方案允许员工、承包商和原始设备制造商 (OEM) 远程访问生产或关键任务资产，以便安全地操作、维护或更新这些资产。该解决方案提供强大的机制来验证用户身份，为用户和系统实施精细的访问策略，确保通信安全，并跟踪所采取行动的完整性。

为什么重要

企业越来越需要为制造商、员工和承包商提供安全的远程访问，以访问生产或关键任务 CPS。过去，这要么是通过临时方式实现的，使用虚拟网络计算或 TeamViewer 等消费级工具，没有集中式策略；要么是通过 VPN 和基于跳转服务器的方法。事实证明，这些方法越来越不安全，管理也越来越复杂。

商业影响

CPS 安全远程访问解决方案提供强大的机制，确保只有获得批准的用户才能在生产或关键任务环境中远程精细访问 CPS。它们支持多种安全控制，例如会话管理/记录、带有恶意软件扫描的文件传输、多因素身份验证 (MFA)、审计跟踪以及对访问、资产和会话的最小特权。更重要的是，它们还允许生产工程师安全地执行操作、维护和升级。

驱动因素

安全考虑：一些 CPS 部署在恶劣的环境中或处理可能对人体有害的材料，因此远程管理可能是比部署人工更好的选择。
合同义务：由于原始设备制造商 (OEM) 销售设备，他们无法在每个地点都安排支持团队待命；他们通常会在销售合同中规定远程访问以支持服务等级协议 (SLA)。这些 OEM 还需要确保其员工只访问他们应访问的内容。
成本/生产力压力：利用相同的劳动力资源并保持较低的差旅成本以支持多种运营环境的能力对于成本控制和生产力计划至关重要。
竞争压力：竞争推动着自动化、产出数量和质量的提升。远程资产管理能力已成为一项差异化优势。
生产正常运行时间和设备维护/升级：保持生产和关键任务环境不中断地正常运行的能力是保持竞争力的关键因素。
熟练劳动力压力：全球范围内生产工程师和工业维护专业人员短缺，因此由于缺乏当地专业人员和/或当地专业人员成本较高，通常需要进行远程操作。
新工程师和维护人员的培训：为了应对熟练劳动力的缺乏，组织通常不得不转向虚拟培训新员工，而CPS 安全远程访问解决方案越来越多地用于此目的。
地理上分散的设置：在公用事业等垂直领域，变电站可能位于全国各地，因此无法进行实际维护

障碍

安全和风险管理领导者通常没有意识到整个运营网络（尤其是现场）中可能已经存在的影子远程访问。
对添加点解决方案的担忧减缓了采用速度。
OEM 安装的资产可能需要 4G 或 5G 点对点解决方案，而安全远程访问解决方案可能不支持该解决方案。
一些供应商进入市场还不到三年。并购活动可能会出现，因为随着数字化转型努力推广更多自动化并支持更多远程运营，这些功能的需求将持续旺盛。
缺乏垂直特定的专业化可能会减慢生产工程师的接受速度。
在部署 CPS 安全远程访问工具之前，为远程用户定义和实施强大的入职、管理和访问控制存在困难。
MFA 是抵御账户接管威胁的有效保护措施，但静态 MFA 方法不像自适应 MFA 方法那样考虑外部环境和风险信号。大多数 CPS 安全远程访问工具都提供静态 MFA 机制，这比没有 MFA 有所改进，但它们无法提供自适应 MFA 所能提供的丰富环境和风险信号。

11、咖啡店网络

效益评级：中等

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：“咖啡店网络”是一种技术组合，旨在实现简化且一致的员工体验，无论员工身在何处。用户体验是：找到座位，连接网络，随时随地办公。无论员工是在办公室、咖啡店还是在家办公，都能获得相同的体验。企业通常在简化其分支机构网络的背景下提到咖啡店网络。

为什么重要

网络团队希望模拟员工在咖啡店（或咖啡馆）工作的体验，并将这种体验扩展到分支机构的员工。因此，咖啡店网络可以改善员工访问应用程序的体验，简化分支机构的网络基础设施，并可能优化网络投资。这在一定程度上是为了应对混合工作环境和酒店式办公模式，因为在这种环境下，员工越来越多地在任何地方工作，并且主要访问云端交付的应用程序。

商业影响

咖啡店网络允许灵活地选择工作地点，并简化员工访问应用程序的体验。无论用户选择在何处工作，这都能确保统一的安全态势。这一点尤为重要，因为 Gartner 的研究表明，大约一半的员工是混合型员工（平均每周远程工作时间少于一到四天）。

驱动因素

咖啡店网络吸引了采用混合工作方式的组织，这些组织的应用程序主要是基于互联网的 SaaS 和公有云，而内部部署应用程序的占用空间有限。
无论员工身在何处，他们访问公司应用程序时都喜欢简单、一致的用户体验。
网络和安全团队希望为混合工作员工提供简单、安全和一致的体验。
企业通常具有实现咖啡店网络的底层技术的经验，包括轻量级软件定义广域网 (SD- WAN )、零信任网络访问 (ZTNA)、数字体验监控和本地Wi-Fi。
一些供应商正在积极向用户推销这一概念，作为一种新的创新方法。
网络团队正在寻求降低或优化分支机构和远程员工成本的方法。咖啡店网络承诺通过减少专用线路或网络/安全设备来降低成本。然而，这一承诺能否真正兑现取决于具体用例。
那些租用办公空间（而非自有）并将互联网接入作为一项公共设施的公司，会考虑在咖啡馆里建立网络。酒店式办公模式也同样如此，员工虽然有办公桌，但每周至少要在公司办公几天，因此需要到其他地方办公。
已经投资 ZTNA/安全服务边缘解决方案的企业希望在分支机构中利用这项投资，不仅仅是为了远程工作人员。

障碍

返回办公室 (RTO) 授权和政策降低了咖啡店网络实施的适用性。
咖啡店网络并不符合尚未采用混合工作模式的企业的要求。
咖啡店网络不能有效满足大量非用户连接网络的需求，包括物联网和运营技术（OT），例如打印机、证卡阅读器和数字标牌。
缺乏 SaaS 或公有云服务的采用降低了咖啡店网络的价值。
如果对下一代防火墙、SD-WAN等现有投资已经足够且不需要更新，那么很难证明转向咖啡店方式的合理性。
由于隐私、安全或性能问题而避免使用互联网连接的企业不太可能采用这种模式。
无线覆盖和/或容量挑战阻碍了咖啡店网络的成功部署。

12、CPS保护平台

效益评级：高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：网络物理系统 (CPS) 保护平台利用工业协议、操作/生产网络数据包或流量元数据以及物理过程资产行为的知识来发现、分类、映射和保护企业 IT 环境之外的生产或关键任务环境中的 CPS。

为什么重要

CPS 防护平台有助于保护企业 IT 之外的生产或关键任务环境中的互联资产。传统方法本质上是以网络为中心的（以普渡模型和网络分段方法为基础），而 CPS 防护平台则能够实现以资产为中心的安全视角。以资产发现和网络拓扑映射为主导，可以添加其他网络安全功能，例如威胁管理、漏洞管理和风险评分。

商业影响

由于信息物理系统支撑着生产和关键任务工作负载，因此针对它们的网络攻击可能导致可见性丧失或物理流程失控。反过来，这些后果可能对收入、环境状况或人员安全造成毁灭性影响。为了降低这些网络风险，组织需要了解其拥有哪些信息物理系统 (CPS) 资产、这些资产的通信方式、存在哪些可利用的漏洞以及应采取哪些措施来保护它们。

驱动因素

CPS 保护平台正在成为 CPS 安全的核心，因为：

攻击面不断扩大：CPS通常是核心价值创造资产，一旦发生故障，就会导致生产中断或任务脱轨。它们的连接性越强，攻击面就越大。这使得它们越来越成为勒索软件、工业间谍活动或地缘政治攻击的诱人目标。从管道运营商的运营中断到造船厂的机器停转，已披露的攻击数量持续上升。
威胁日益增多：专门针对工业环境构建的恶意软件（如 INDUSTROYER.V2 和 Pipedream）正在涌现。
越来越多的漏洞浮现：但由于 CPS 无法随意修补，因此仍然难以管理。
越来越多的法规、指令和框架正在涌现：由于关键基础设施相关组织面临的威胁日益增加，各国政府认识到，支持他们的无处不在的 CPS 技术环境对于国家安全和经济繁荣至关重要。
手动资产盘点效率低且成本高。
网络安全工具不适合许多 CPS 环境。
越来越多的垂直行业开始关注安全问题。

障碍

大多数 CPS 防护平台都需要传感器来被动探测网络流量。确定这些传感器的部署位置不仅对于确保资产被发现至关重要，而且对于网络安全和生产工程团队来说也是一项耗费大量人力的工作。
一些垂直行业，例如医疗保健、国防、铁路或海运，由于其独特的系统和协议、销售周期或安全文化，具有独特的安全需求。寻找具备专业知识的供应商可能颇具挑战性。
不同供应商以及不同渠道合作伙伴针对同一产品提供的各种定价选项让最终用户感到困惑，他们在续订时也越来越多地面临两位数的价格上涨。
部署复杂，产品成本高。

13、加密敏捷性

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：加密敏捷性是指在应用程序中透明地交换加密算法和相关工件的能力，用不同的、可能更安全的算法替换它们。

为什么重要

各种指令和法规（例如 PCI DSS 4.0.1、DORA 委员会授权法规[ EU ] 2024/1774 第 6.4 节以及增加证书续订数量的提案）通常要求对现有的加密系统和策略进行更改。这种日益增长的规模和复杂性要求更可扩展、更动态的加密管理。
美国国家标准与技术研究院 ( NIST ) 已将其首套量子安全替代方案标准化，包括 CRYSTALS-Kyber、CRYSTALS-Dilithium、SPHINCS+ 和 FALCON（分别对应ML-KEM 、ML-DSA 、SLH-DSA和FN-DSA标准），以供广泛使用。Lattice 的替代方案 HQC 计划于 2027 年获得批准。这些算法将成为未来供应商和开发者敏捷加密替代方案的核心。

商业影响

鉴于传统加密技术在提升运营效率和降低成本（例如，通过策略和自动化实现敏捷性）方面的需求日益增长，以及即将到来的量子计算威胁，Gartner 预计加密敏捷性将成为技术供应商的显著差异化优势。受加密技术变革影响的企业需要评估并执行以下活动：

使用加密或公钥基础设施 (PKI) 的应用程序需要具备可见性，并能够根据策略自动更新或更改。必须使用元数据数据库跟踪有关算法、密钥大小、到期日期和用途的数据。
必须针对符合性能和安全期望的应用程序和用例确定合适的替代实现。
新算法不能直接替代现有的加密技术，因此必须测试替代方案并生成替代策略。
必须识别供应商的加密产品，并且供应商需要提供与业务目标一致的一定程度的加密敏捷性。

驱动因素

随着业务的监管和安全需求的发展，需要识别供应商产品中的加密技术，并且供应商需要提供更新和更换的时间表。
大多数已清点其加密元数据的组织都发现，他们已经积累了大量的PKI技术债务（例如，过期证书、弃用算法、短密钥）。清理这些债务将大大降低组织的风险状况。
预计开发能够通过Shor或Grover算法破解密码的量子计算机还需要五到七年的时间。这比大多数组织中敏感信息的典型寿命要短得多，从而导致敏感数据泄露。使用Shor算法进行密钥破解与密钥长度呈线性关系，但受可用量子比特数量的限制；一旦算法运行，较大的密钥长度将迅速减小，从而缩短了实施更改的时间。
新算法的早期采用者发现，性能会随着实现方式的不同而产生显著差异。大多数人报告了竞争条件、性能下降以及其他与时间相关的问题。将应用程序迁移到加密敏捷状态是测试实现方式以找到性能和安全性最佳组合的好方法。
政府机构开始要求向其销售产品的供应商采用量子安全加密策略（例如，美国 NSM-10、EO-14028）。这涵盖最终产品中的所有产品或代码，包括开源软件 (OSS) 和其他供应商产品。与软件物料清单一样，这大大扩展了这些订单的范围，涵盖了许多原本不直接向政府销售产品的供应商。
新算法具有可以促进新商业案例的附加用途（例如，状态签名、同态加密）。

障碍

加密技术债务（例如，使用硬编码秘密和算法、弃用的算法等）在 IT 中通常可见度很低，因此容易被低估。
许多组织不知道如何盘点他们的加密使用情况，而是依赖供应商或自己苦苦挣扎。
加密敏捷性从根本上来说是一项由开发人员驱动的努力，但开发人员通常缺乏成功实施加密敏捷应用程序所需的架构、模式、库和其他工件。
许多组织缺乏领导此类加密卫生所需的专业知识，从而延迟了行动并对风险视而不见。
大多数加密系统都有源/目标依赖关系，利益相关者难以以协调互利的方式协调所有相关方之间的变革。

14、CAEP

效益评级：高

市场渗透率：目标受众的1%至5%

成熟度：新兴

定义：共享信号和事件 (SSE) 框架的持续访问评估配置文件 (CAEP) 定义了在受信任方之间传递安全事件的机制，以实现持续的运行时访问决策。CAEP 是一项标准，它使身份和访问管理 (IAM)、安全工具以及它们所保护的应用程序和服务能够持续共享安全信号，从而在去中心化环境中实现会话管理、缓解违规行为并强化策略。

为什么重要

单点登录在组织的混合环境中已经很成熟，但单点注销和持续会话管理迄今为止仍难以实现。
对于建立在分布式信任基础上的互联世界来说，在工具和应用程序之间共享风险事件至关重要。
CAEP 有助于解决长令牌生命周期、逐步身份验证、持续评估保障级别和设备状态等方面的挑战。它还提供多种机制来帮助应对身份生命周期事件。

商业影响

共享安全信号（CAEP事件）可提高松散连接服务的安全性，并在混合和分散的 IT 环境中实现持续控制、更高的保障级别和更佳的用户体验。利用 CAEP 事件响应变更或检测到的威胁，应用程序和 IAM 工具可以采取诸如终止会话、重新评估声明、逐步身份验证以及管理用户和授权生命周期等操作。

驱动因素

现代 IAM 需要基于事件和运行时的通信机制来评估和建立信任，并根据用例协调合适的工具。例如，当某个事件表明用户不再有效或设备的安全状况不合规时，必须触发其他 IAM 工具来响应该事件，管理受影响的身份并在运行时重新评估访问决策。
在组织的混合云和多云环境中，应用程序和服务日益分散，使得持续会话管理势在必行，但却难以实现。例如，单点注销集成历来无法大规模部署。
组织需要持续自适应信任 (CAT) 和一种可互操作的方式来应对会话期间发生的风险事件，从而了解用户身份验证后应用程序中的运行情况。从规模上讲，这只能通过像 CAEP 这样的身份标准来实现。
使用 CAEP 将信号连续输入自适应接入引擎，使引擎能够获得更多数据，从而做出更准确的接入决策。
IAM 社区正在开始实施 CAEP。目前已有20 多个实施，其中少数已正式发布。
Gartner与 OpenID 基金会携手，在 2024 年至 2025 年期间的 Gartner IAM 峰会上成功举办了三场互操作性会议，共涉及 19 个 CAEP 实施案例，展示了这些协议的实用性、互操作性和可实施性。会议期间及会后，Gartner 客户纷纷强调了这一尚未满足的市场需求的重要性。

障碍

IAM 专业人士或应用程序和服务开发人员仍然不太了解和理解 CAEP。
尽管实施工作已启动，但所有身份标准都需要很长时间才能普遍实施。身份标准在广泛部署之前，面临着“先有鸡还是先有蛋”的问题。目标应用在观望标准是否会成功，而身份访问和访问管理 (IAM) 供应商则在等待其目标应用获得广泛支持。CAEP 也是如此。实施者的数量正在增长，但数量仍然很少。
新身份标准市场缓慢饱和的另一个影响是，市场需要能够通过将 CAEP 事件代理并转换到非支持环境来帮助实现传统工具和集成现代化的工具。Gartner 目前只知道两家这样的代理：SGLN 和 IBM。

15、通用 ZTNA

效益评级：高

市场渗透率：不到目标受众的1%

成熟度：新兴

定义：通用零信任网络访问 (ZTNA) 将 ZTNA 技术扩展到远程访问以外的用例，以支持园区和分支机构“本地”位置的本地实施。虽然“通用 ZTNA”描述了一种广泛的 ZTNA 实施方法，但 ZTNA 的原始定义并不局限于远程访问用例。

为什么重要

通用 ZTNA 统一了访问控制。它将ZTNA 产品从远程访问部署扩展到园区环境，并为企业带来诸多优势，包括消除安全漏洞、统一策略、增强可视性、简化操作和现代化定价模式。

商业影响

由于网络访问实施不一致，混合工作模式给员工和管理员带来了挑战，这可能会导致生产力下降，并增加发生安全和网络事故的可能性。通用零信任网络访问 (ZTNA) 有助于简化跨多个环境的网络和安全策略。

驱动因素

IT 团队旨在为最终用户提供一致的访问公司资源的体验，无论其实际位置如何。
IT 团队希望基于身份制定统一的安全策略，允许访问应用程序，而不管用户或设备的物理位置如何。
已为远程工作人员部署 ZTNA 并希望在本地为用户扩展一致的安全策略的组织。
希望通过将部分安全控制转移到 ZTNA 软件堆栈来简化校园网络的组织。
希望使用更加以软件为中心、基于身份和动态的机制来替换或更新其网络访问控制 (NAC) 实施的组织。
组织希望根据用户和设备的风险实现近乎实时的自适应访问控制，而不仅仅是依赖用户或设备的物理位置或互联网协议 (IP) 地址。
供应商正在积极营销通用 ZTNA 。

障碍

校园网络的投资通常由硬件更新周期驱动，该周期很长，在企业中通常为六年甚至更长。
将流量引导至执行点可能需要重新设计网络和/或产生延迟或复杂性，从而影响性能。
目前只有少数供应商提供成熟的通用零信任网络访问 (ZTNA) 产品。具体而言，其缺点包括未托管的设备和未经身份验证的用户，以及未托管的运营技术 (OT) 和物联网 (IoT)。
孤立的网络和安全团队导致组织忽视了统一远程访问和校园安全的机会。
由于预算限制、支持内部或外部审计结果的遗留技术等原因，组织尚未准备好在所有地方采用完全自适应的动态访问策略。
用于修补和软件分发的 IT 管理工具可能需要现代化，以支持到达隔离端点，即使是在校园内。
ZTNA 服务故障（或安全漏洞）会同时影响远程工作和校园工作，从而增加中断风险。
对于许多企业来说，建立细粒度的用户到应用程序安全策略并扩展到所有应用程序是困难的。

16、后量子密码学

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：后量子密码学（PQC），也称为量子安全密码学，是一组旨在抵御经典和量子计算攻击的算法。PQC 将取代现有的非对称加密，而现有的非对称加密将在未来十年内被破解，从而取代现有的经典加密方法和流程。

为什么重要

现有的非对称算法，例如Diffie-Hellman、RSA和ECC，很容易受到密码学量子计算机的攻击，到本世纪末将不再安全。因此，数字签名、公钥加密、区块链和密钥交换等常见的密码功能将需要被取代。
PQC 为组织提供了一定程度的加密保护，即使量子计算机进入主流，这种保护仍将保持强大。

商业影响

更强大的量子计算机的出现意味着现有的非对称算法必须被量子安全算法取代。这包括所有网络、文件和数据加密、身份和访问管理(IAM)、安全消息传递，以及非对称加密的任何其他用途。
现有的加密算法没有可用的 PQC 嵌入式实现，因此需要进行发现、分类和重新实现。
新的算法具有不同的性能特征，因此当前的应用程序必须重新测试，在某些情况下甚至需要重写。
新型加密技术的二次应用（例如同态加密、状态签名）将带来超越数据保护的新商机。例如，同态加密允许第三方在数据加密时对其运行数学函数，但解密结果仍保留第三方所做的所有工作。
一旦组织采用 PQC ，数据在可预见的未来应该能够免受量子计算机攻击。

驱动因素

到本世纪末，现有的非对称加密算法将容易受到基于量子的解密攻击，可能需要对所有数据进行重新加密，因为对称密钥或令牌的泄露风险很大。
世界各国政府正在制定和发布相关法规和法律框架，要求政府机构和企业开始制定后量子计算（PQC）战略。例如，美国的《国家量子计划法案》和《网络安全研究与发展法案》要求国家安全系统的所有者和运营商以及向美国政府提供服务的组织开始使用后量子算法。
“先收集后解密”攻击是一个持续存在的隐患，尤其是在高级持续性威胁的范畴内。这促使我们尽快实施 PQC 安全措施。

障碍

大多数组织机构并不了解加密技术在其运营中如何运作，密钥和算法的使用场景，以及机密信息的存储和管理方式。因此，将其替换为新算法将极具挑战性。
新算法与现有算法具有不同的特性，包括密文大小以及不同的加密和解密时间。新的加密技术并非能够直接替代现有算法，而是需要进行一些实验和测试，以维持相关应用程序的性能范围。
PQC 算法将需要新的标准。PKCS 和 TLS 握手等标准将被修改，以接受更长的密钥长度以及 PQC 的其他属性。
大多数供应商在升级加密技术时通常没有做好准备，并且通常需要客户的推动才能认识到需求。
一些关键系统（例如IAM、数据安全平台、网络设备）缺乏内置的加密敏捷性。
新的密码学通过公开审查获得力量（秘密的是密钥，而不是算法）。这可能是一个非常漫长且不均衡的过程，一些提案可能会被意外放弃或需要重新修改，这可能会损害公众信心。

泡沫破裂期

17、CPS 分区和分段

效益评级：高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：网络物理系统 (CPS) 分区和分段包括发现现有网络拓扑、管理防火墙和创建隐藏网络或优化区域和管道的飞地的解决方案，以防止恶意软件传播或敏感数据泄露。

为什么重要

CPS 分区和分段产品有助于映射现有网络配置、了解防火墙设置、隐藏 CPS 网络以防止其在互联网上被发现、创建区域并管理这些区域之间的流量和规则。它们还能确保 CPS 仅在必要时相互通信。这有助于降低知识产权泄露的风险，以及通过恶意软件失去对物理过程的可见性或控制权：

从 IT 系统穿越到生产或关键任务环境（北-南）
横向移动（东西向）
被内部威胁行为者利用 CPS 的物理访问权限进行部署（南北）

商业影响

通过创建将站点和流程控制系统与业务网络相互分离的逻辑边界来提高运营弹性。
改进单独生产线的分区以创建逻辑段。
通过使用基于风险和关键性的评估来创建风险概况和安全区域，从而优化资源部署。
优化区域内和区域之间的访问控制，确保只有授权的个人或系统才能访问资产或执行任务。
详细监控和记录活动以支持事件检测和响应。

驱动因素

不断演变的威胁形势：攻击（尤其是勒索软件相关攻击）的增加，导致组织出于对潜在恶意软件传播到 CPS 环境的担忧而主动关闭运营。
遏制：企业越来越意识到，在设施中设立过大的信任区域会增加风险。将网络划分为更小的段或区域，会使攻击者更难横向移动。
最佳实践和安全框架建议：分区和分段是业界认可的框架（如NIST SP 800-82 R ev. 3 和 ISA/IEC 62443）中的核心建议。
合规性：NERC-CIP 等多项行业法规和标准要求组织将网络分段作为其安全措施的一部分。遵守这些法规对于避免处罚、维护客户信任和保护敏感数据至关重要。
提高性能：分段可以通过减少拥塞和优化流量来提高网络性能。
可扩展性：分区和分段允许将新设备或系统添加到特定段，而不会影响整个网络。
基于云的解决方案：将 CPS 连接到基于云的解决方案的业务需求正在增加。

障碍

设计上缺乏安全性：许多遗留系统在设计时并没有考虑到安全性，并且可能缺乏在不中断关键运营的情况下支持有效分区和分段的必要功能。
缺乏可见性和复杂性：缺乏对网络及其组件的可见性以及潜在的未知相互依赖性（其中不同的组件或流程相互依赖才能正常运行）构成了障碍。
运营影响：分区和分段可能会带来额外的网络复杂性。
资源和专业知识有限：许多充满 CPS 的组织缺乏预算和具有所需安全和工程知识的技术人员。
运营限制：在某些关键基础设施领域，例如能源或制造业，停机或中断可能会带来重大的财务和安全影响。
对未知的恐惧：生产或工厂所有者可能会担心网络安全工作会带来生产风险。

18、物联网身份验证

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：物联网 (IoT) 身份验证是一种机制，用于建立对与其他实体（例如在物联网环境中运行的设备、应用程序、云服务或网关）交互的实体（通常是设备）身份的信任。物联网中的身份验证会考虑物联网设备的潜在资源限制、其所在网络的带宽限制以及各种物联网实体之间交互的自动化特性。

为什么重要

从汽车到智能家居、智能楼宇，再到智能消费设备市场、工业物联网 (IIoT) 和信息物理系统(CPS) ，物联网市场正在不断扩张。这些互联设备可以连接网络世界和物理世界，并带来全新的威胁载体。除了加密和文化等要求外，完善的物联网安全还需要物联网设备拥有强大的身份识别能力以及强大的物联网身份验证能力，以减轻并最大程度地减少网络攻击和漏洞。

商业影响

物联网身份验证可以缓解：

隐私问题直接影响消费设备的责任和品牌声誉。
针对连接设备的攻击可能会导致产品或服务中断。
针对工业设备的攻击会对安全关键型生产区域的运营造成影响，甚至可能引发灾难性事件。

物联网认证是保护市场上较新机制的基础，包括物联网应用程序和代理人工智能组件。

驱动因素

物联网 (IoT) 和工业物联网 (IIoT) 的爆炸式增长正在以前所未有的方式建立人与机器、机器与机器之间的连接。
长期支出增长将由汽车行业（8% 的复合年增长率 [CAGR]）、制造业和自然资源行业（10% 的复合年增长率）以及交通运输行业（11% 的复合年增长率）引领。各组织正在投资物联网技术，以推动成本优化和运营效率。
正在进行的为物联网身份验证定义安全凭证存储和轮换方法的工作正在帮助推动市场发展。
物联网产生的许多用例正在改变传统的商业模式，例如远程医疗的持续发展。
公钥基础设施 (PKI) 作为一种身份识别方法的普及，有助于推动其应用。证书仍然是设备识别和身份验证的主要方式。PKI 供应商在该领域的投资和关注点包括CyberArk (Venafi)、DigiCert、Entrust、Keyfactor和Sectigo ，它们利用各自的 PKI 功能来解决物联网身份验证用例。
有助于提供一致的方法和巩固投资、可行性和实用性的标准包括连接标准联盟的Matter 、RFC 8628、OAuth 2.0 设备授权授予扩展以及互联网工程任务组内的ACE工作组。

障碍

物联网格局非常复杂，包括由于市场分散而确定合适的人才、流程和技术，具有高度行业特定性的要求，并且由于设备类型和操作环境不一致而导致产品化困难。
许多 IIoT 环境的脆弱性（包括滥用和灾难性影响的可能性）将推动在网络物理环境中继续采用专有和孤立的身份验证方法。
由于某些物联网设备的资源或功能受限、计算能力低且安全存储容量有限，因此某些身份验证方法并不理想。
许多组织面临着来自其环境中各种不同类型的物联网设备的挑战。
物联网平台对身份验证方法的支持尚不成熟或不完善。工业物联网 (IIoT) 等用例领域的协议彼此之间无法互操作，并且通常无法与TCP/IP等标准兼容，这给身份验证方法带来了持续的挑战。

19、去中心化身份

效益评级：转型

市场渗透率：目标受众的5%至20%

成熟度：新兴

定义：去中心化身份 (DCI) 通过去中心化身份数据的存储和使用，实现数字身份的民主化。DCI 的主要优势在于隐私、匿名性和用户自主性。DCI 工具包括身份信任结构、与实体（用户）绑定的数字钱包，以及可验证凭证 (VC)，后者代表用于证明身份声明的身份属性。

为什么重要

DCI 可以帮助解决与身份验证、账户盗用、欺诈、隐私和安全相关的问题。它由虚拟凭证 (VC)驱动，虚拟凭证代表身份属性声明的证明，例如就业状况、公民身份或访问应用程序和数据的授权。但与现实世界相比，使用 DCI 执行此操作的过程在效率、成本和可靠性方面都有显著的提升。

商业影响

用户能够更好地控制其身份和数据，服务提供商 ( SP )则获得了更高的信任度、更快的价值实现速度和信心，并降低了身份数据泄露的风险。目前，SP会在每次交互中收集大量用户身份信息，以将安全性提升到可接受的水平。DCI无需集中数据，即可为最终用户提供身份数据的信任、安全性、隐私性、便利性和可移植性，从而降低数据泄露、账户被盗和违反隐私合规性的风险。

驱动因素

供应商在 DCI 方面的投资：除了有影响力的供应商（如 IBM、Microsoft 和 Ping Identity）在 DCI 方面进行大量投资之外，Gartner 还一直在跟踪80 多家DCI 技术和 DCI 组件的初创企业或成熟供应商。
政府活动：公共部门正日益影响着DCI的发展趋势。欧盟已批准eIDAS 2.0 ，该标准要求在2026年前向公民提供身份钱包（用于DCI）。其他国家、地区和地方当局正在探索和投资公共和私营部门的DCI用例。例如芬兰、英国国家医疗服务体系、阿根廷的布宜诺斯艾利斯和西班牙的巴斯克地区。
法规：各国持续规范用户隐私要求，制定收集和保护大量用户数据的法规。DCI通过分散用户数据来遵守隐私法规。此外，了解你的客户 (KYC) 和反洗钱等基本用例正在针对 DCI 用例进行开发。
客户和整体市场对 DCI 的兴趣：由于越来越多的公司开始使用 DCI 方法来创造新的数字业务机会，同时保护客户隐私，因此他们的兴趣正在日益增加。
标准：在万维网联盟(W3C)、Trust Over IP、OpenWallet 基金会和OpenID for Verifiable Credentials (OID4VC)等实体的主导下，标准正在日趋成熟，以创建一致的 DCI 方法。
用户体验(UX)：要求用户在与服务提供商 (SP) 的每次新在线互动中反复进行身份验证 (IDV) 和确认流程是一种不完善的模式。如果用户能够使用完全控制其身份数据的身份钱包进行一次身份验证，然后根据需要向每个新的 SP 声明其身份，则可以显著减少用户体验中的摩擦。DCI 可以让更多 SP 获得高信任度的 IDV，而无需投资单独的 IDV 工具。

障碍

发行人的权威：确保一个组织有权颁发 VC（例如只有获得认可的机构才能颁发教育证书）是一项挑战。
基础设施标准化：构建 DCI 流程的一部分是拥有用于添加VC发行者以及任何 DCI 网络验证者的标准且直接的流程；需要统一性来推动采用。
互操作性：大多数开发都是在局部进行的，标准正在缓慢成熟。
技术挑战：存在对性能、加密密钥管理、可扩展性、成熟度和钱包标准的担忧。
法规：需要开展更多工作来确定如何在受监管的用例中使用可验证声明，例如金融服务所需的驾驶执照和其他政府记录或 KYC 和 AML。
安全性：身份钱包必须强制执行强大的身份验证控制，以确保只有钱包中保存身份属性的人员才能进行身份断言。钱包恢复过程也必须安全。

20、安全服务边缘SSE

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：安全服务边缘 (SSE) 可确保对 Web、SaaS 应用和私有应用的访问安全。其功能包括自适应访问控制、数据安全、可见性和合规性。其他功能包括通过基于网络和 API 的集成强制执行的高级威胁防御和可接受的使用控制。SSE 主要以云服务的形式交付，可能包含本地或基于端点代理的组件。

为什么重要

SSE产品统一了与访问相关的安全功能，以提高安全使用Web 和云服务以及远程工作的灵活性。
SSE 产品主要通过云端交付，结合了安全网关 (SWG)、云访问安全代理 (CASB) 和零信任网络访问 (ZTNA) 的核心。
当组织追求安全访问服务边缘 (SASE) 架构时，SSE与软件定义广域网 ( SD-WAN )配对以简化网络和安全运营。

商业影响

企业采用战略性混合采用模式来管理关键业务应用，将关键服务部署在公有云上，同时在托管环境中维护私有应用，并在公有云内维护私有租户。SSE 支持所有用户，并对 Web、云和私有应用访问实施一致的访问安全策略。SSE 通过统一多种访问产品来简化管理，并提高用户在单一平台上操作的可见性。

驱动因素

企业对公有云服务的采用持续增强或取代本地应用程序，推动了对分布式且需要安全访问的用户、应用程序和企业数据进行保护的需求。SSE为混合办公人员和设备提供灵活的、主要基于云的安全性，而无需依赖于本地网络基础设施和连接。
传统的 SWG 和 VPN 产品（无论是硬件还是虚拟的）都限制了支持庞大且分散的员工队伍的能力。要运行资源密集型的安全流程并同时扩展，需要采用基于云的方法来提高性能并减少网络边缘的流量瓶颈。
现在，许多企业都以SaaS的形式提供大量关键业务流程和数据，因此需要对位于、进入和离开这些 SaaS 平台的数据执行数据防泄漏 (DLP) 。
当用户未连接到企业拥有的网络时，管理员将无法看到用户流量，但需要保留此流量的配置和监控，而不管用户的位置如何。
企业希望降低复杂性，减少执行安全访问策略的点供应商数量，包括减少端点代理。这也意味着需要应用 DLP、高级威胁防御和远程浏览器隔离等控制措施，以确保单一提供商提供更多用例的安全。
无法决定其网络边缘提供商（例如 SD-WAN ）的选择或不想从现有提供商迁移的组织需要灵活地选择集成独立于 SD-WAN 的安全服务以满足其 SASE 要求。
企业机构希望减少对以硬件为中心的安全解决方案的依赖，因为这些解决方案通常与资本支出相关。通过采用 SSE，他们可以最大限度地减少硬件需求，并转向运营支出模式，从而提供更可预测、更一致的预算预测。

障碍

随着市场通过功能合并而增长，供应商可能在某些领域表现出色，而在其他领域则落后。他们正在快速转向 SASE 平台解决方案，但可能缺乏与自身 SSE 或 SD-WAN 功能的强大集成。
一些供应商缺乏足够的 DLP 功能来管理业务风险。
以云为中心的 SSE 通常不能涵盖现场控制（如现场横向流量的分割和检查）可以满足的所有要求。
企业担心服务正常运行时间、可用性和响应能力会受到影响，而薄弱的 SLA 和有限的本地功能对性能和可用性的影响更是雪上加霜。一些供应商会限制客户端接入点 (POP)。
从 VPN 迁移到 SSE 中的 ZTNA 功能会增加成本，并且可能与所有应用程序不兼容。
SSE 即服务产品的期末价格上涨促使组织评估成本与价值，导致他们花费时间和金钱来取代现有供应商。

21、XDR

效益评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：扩展检测与响应 (XDR) 提供统一的安全事件检测和响应功能。XDR 将来自多个来源的威胁情报、安全事件和监测数据与安全分析功能相集成，从而提供安全告警的情境化和关联性。XDR 必须包含原生传感器。XDR 可以本地交付，也可以作为 SaaS 产品提供，通常由安全团队规模较小的组织部署。

为什么重要

XDR 提供了一种利用生态系统而非同类最佳方法进行威胁检测、调查和响应 (TDIR) 的平台方法。XDR 供应商大多通过使用原生 API、自动化和检测内容来管理构建检测堆栈时通常涉及的复杂依赖关系。目前，一些 XDR 供应商已在其生态系统解决方案中提供类似 SIEM 的基本功能。

商业影响

XDR 在发现和分类常见威胁方面相对简单，这减少了对内部技能的需求，并可能减少操作更复杂解决方案（例如 SIEM）所需的人员水平。XDR 还可以通过单一的集中式调查和响应系统，帮助减少与安全操作任务相关的时间和复杂性。

驱动因素

XDR对成熟度需求适中的组织很有吸引力，因为检测逻辑大多由供应商提供，通常需要较少的定制和维护。
XDR 吸引了那些寻求改善跨安全堆栈组件协作的组织，以及那些希望降低更复杂的 TDIR 解决方案的管理要求的组织。
由于供应商承担了许多责任，包括管理堆栈依赖关系、扩展工作流程和提供检测内容，因此整体运营的减少促使买家选择 XDR 解决方案。
购买像 XDR 这样的平台产品可以简化与最佳策略相关的供应商获取和集成挑战。

障碍

XDR 有限的可扩展性为那些希望使用 XDR 供应商首选的开放生态系统之外的解决方案构建高度定制的检测和监控用例的客户带来了障碍。
通过添加或替换安全控制来扩展 XDR 检测堆栈的功能将受到供应商的限制。
XDR的SIEM 组件可能缺少最佳解决方案中的功能，例如长期存储、记录系统、报告和审计或日志连接器支持。
对于需要基于角色的仪表板、高级工作流程和大规模企业架构能力的高成熟度安全运营中心(SOC) 来说，XDR 可能不是一个好的选择。

稳步复苏期

22、SASE

效益评级：转型

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：安全访问服务边缘 (SASE) 提供融合网络和安全功能，包括软件定义广域网 (WAN)、安全互联网接入、安全 SaaS 接入、防火墙和零信任网络接入功能。SASE 支持分支机构、远程办公人员和本地安全访问用例。SASE 主要以服务形式交付，基于设备或实体的身份，结合实时上下文以及安全和合规性策略，实现零信任访问。

为什么重要

SASE 支持现代数字业务转型，包括随时随地办公、分支机构转型以及边缘计算和云交付应用的采用。它还通过以云为中心的管理和交付模式，显著简化了关键网络和安全服务的交付和运营。SASE将安全访问所需的供应商数量减少到一两家明确的合作伙伴。

商业影响

SASE 支持：

数字业务用例（例如分支机构转型和混合劳动力支持）提高了易用性，同时通过供应商整合和专用电路卸载降低了成本和复杂性。
基础设施和运营以及安全团队提供一致且集成的网络和网络安全服务，支持数字业务转型、边缘计算和随时随地办公的需求。

驱动因素

受云服务采用和日益增长的移动劳动力推动的数字化劳动力和分支机构转型项目需要随时随地进行安全访问。
组织希望在管理复杂性的同时走向零信任安全架构。
十多家通信服务提供商以托管 SASE 产品的形式提供具有竞争力的单一供应商SASE 平台解决方案。
SASE 可以减少新用户、地点、应用程序和设备的部署时间。
对于信息安全，SASE 支持通过单一方式在互联网、Web 应用程序和私有应用程序访问中设置一致的策略实施，从而减少攻击面并缩短补救时间。
企业希望通过减少策略引擎和管理控制台来简化网络和网络安全部署。

障碍

组织孤岛、现有投资：SASE 需要跨安全、网络和数字工作场所团队的协调方法，考虑到更新和续订周期、孤岛和员工专业知识，这具有挑战性。
SASE覆盖范围要求：供应商的云足迹可能会阻碍 SASE 在某些地区（例如中国、非洲、南美和中东）的部署。相比之下，一些买家仅要求区域覆盖，不需要广泛的覆盖范围。
集中风险：企业表示，整合来自单一供应商的多种技术存在商业和技术方面的担忧。
成本更高：根据企业员工和应用程序的位置，基于云的方法的成本可能高于内部部署。
内部部署要求：许多供应商没有为不喜欢基于云的检查或拥有静态办公室员工的客户提供所需的内部部署选项。

23、NDR

效益评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：网络检测和响应 (NDR) 产品持续监控网络流量，利用行为分析检测异常和威胁。NDR 产品包括通过与第三方网络安全产品集成实现的自动响应，以及（不太常见的）直接响应。NDR 配备硬件和软件传感器。管理和编排控制台可以是软件，也可以是 SaaS 形式。

为什么重要

NDR可识别网络上所有通信设备、往返于这些设备的网络活动、典型活动基线以及异常活动，所有这些都无需基于签名的控制。NDR可检测攻击者的横向移动、命令和控制活动以及数据泄露。NDR部署在网络上意味着它可以捕捉到其他控制措施所遗漏的内容，并且不会造成停机，并且可以进行调整以防止误报影响运营。

商业影响

NDR 通过暴露网络攻击面来协助降低风险。机器学习 (ML) 算法可以检测到基于签名的检测技术遗漏的事件。自动化响应功能可提高事件响应人员的效率。NDR 有助于更快、更彻底地进行事件调查，将威胁搜寻、告警情境化与深入分析功能相结合。

驱动因素

检测违规活动：NDR 通过基于与基线的偏差来检测事件，是对传统预防控制措施的补充。这使安全团队无需依赖手动控制即可调查违规行为。
情境化告警：SOC分析师面临着安全信息和事件管理 (SIEM)中海量事件的困扰。NDR 能够提供事件发生后所涉及的设备的情境详情，从而更好地理解事件。
低风险，高回报：部署 NDR 产品是一个低风险项目，因为传感器部署在带外。它们不会给网络流量注入故障点或“减速带”。将 NDR 产品作为概念验证 (POC) 实施的企业通常报告了很高的满意度，因为这些工具提供了急需的网络流量可见性，即使是小型团队也能够发现异常。
监控混合云和云流量：NDR 的一项关键功能是能够监控IaaS流量以及 SaaS 流量 (Microsoft 365) 中的某些站点特定事件。正在扩展云业务的组织可以使用 NDR 来避免在监控所有系统（无论是混合 IaaS 还是单一IaaS）之间的交互方面出现问题。
消除可见性差距：NDR 记录每个经过其传感器的网络数据包。正确部署和范围限定的 NDR会生成网络上所有通信资产的列表。
被动检测：NDR 部署在带外，因此攻击者几乎无法察觉自己正受到监控。与端点检测和响应 (EDR) 不同，这也使得 NDR 几乎不可能禁用其监控功能。

障碍

由于大多数攻击发生在端点，NDR 识别出的事件比 EDR 少。与检测能力更强的产品相比，安全运营计划成熟度较低的企业可能难以证明这笔费用的合理性。
NDR 在自动响应方面声誉不佳。响应功能通常需要手动操作，甚至完全由安全团队在审核后执行，而不是由 NDR 系统自动响应。
NDR 产品需要根据其部署环境进行调整。这需要持续投入人力资源才能实现效益最大化。
NDR正在向网络分析以外的领域扩展，通过 SIEM 和扩展检测和响应 (XDR )等整合平台展开预算竞争。

24、网络微分段

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：网络微分段是指在同一扩展数据中心内任意两个工作负载之间的访问层插入安全策略的能力。它能够将网络划分为更小、隔离的区域或分段，粒度可细化到单个工作负载、应用程序，甚至具体进程。

为什么重要

一旦系统被攻破，攻击者就会横向移动（包括勒索软件攻击），从而造成严重损害。微分段旨在限制此类攻击的传播和蔓延，并显著减少初始攻击面。

商业影响

微分段可减少攻击面，从而有效遏制网络攻击。它是零信任架构的核心组件，用于控制工作负载之间的访问，并在攻击者入侵企业网络时限制横向移动。微分段还使企业能够跨本地和云端工作负载（包括托管容器的工作负载）实施一致的分段策略。

驱动因素

随着服务器虚拟化、容器化或迁移到基础设施即服务 (IaaS)，传统防火墙、入侵防御解决方案和杀毒软件等现有安全措施难以跟上新资产的快速部署。这使得企业容易受到攻击者的攻击，攻击者一旦站稳脚跟，便会在企业网络中横向移动。这促使人们对现代数据中心中应用程序、服务器和服务之间东西向流量的可视性和精细分段日益关注。
零信任方法正在不断扩展，如今已成为现代数据中心设计的必要条件。零信任框架认为微分段是构建安全策略驱动型基础设施的实用方法。
数据中心工作负载的动态性日益增强，使得传统的以网络为中心的分段策略难以大规模管理，甚至无法应用。
微分段产品提供丰富的应用程序通信映射和可视化，使数据中心团队能够识别哪些通信路径是有效和安全的。
向应用程序微服务的转变增加了东西向流量，并进一步限制了网络中心防火墙提供分段的能力。
数据中心向 IaaS 的扩展将重点放在基于软件的分段方法上，在许多情况下，使用基于云的供应商的内置分段功能。
人们对零信任网络方法日益增长的兴趣，也促使人们更加关注使用应用程序和服务身份作为自适应应用程序隔离策略的基础。这对于在基于容器的动态网络环境中实施隔离策略至关重要。

障碍

复杂性：如果没有正确规划和确定范围，微分段项目可能会在完成之前失去组织支持。
缺乏应用程序依赖性知识：网络安全领导者不知道哪些应用程序应该与其他应用程序进行通信，从而对自动生成的保护规则产生怀疑。
传统网络防火墙：当策略重叠或冲突时，传统防火墙可能会给某些基于身份的分段解决方案带来操作挑战。
组织动态：采用 DevOps 的以云为中心的组织可能更重视敏捷性而不是安全性，认为任何额外的安全控制都会带来运营摩擦。
费用：全面微隔离的成本可能很高。许多组织认为微隔离是一项新增的预算项目。

25、OpenID 连接

效益评级：高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：OpenID Connect (OIDC) 是一个基于 OAuth 2.0 框架的身份联合协议，它使 Web 服务能够将身份验证功能外部化。它使应用程序（例如基于 Web、移动和 JavaScript 的应用程序）能够对人类最终用户进行身份验证，并通过 API 获取基本的个人资料信息。

为什么重要

OIDC允许应用程序所有者和开发人员跨网站和应用程序对人员进行身份验证，而无需在每个应用程序/服务中创建、管理和维护帐户。
通过OIDC，可以提供单点登录 (SSO) 并重用企业或社交帐户来访问应用程序和 API，从而提高可用性、安全性和隐私性。
OIDC 提供加密敏捷性、同意管理、对混合和多云环境的支持以及对比以前开发的联合协议更多的客户端类型的支持。

商业影响

OIDC建立在 OAuth 2.0 协议之上，提供了一种灵活、安全、高效的SAML 替代方案。其主要优势如下：

通过提供身份验证、授权和同意管理来改善用户体验
通过 SSO 和联合支持减少用户注册期间的数据输入负担
提供比 SAML更好的密钥发现和轮换支持
有效地支持移动和单页应用程序的令牌和以 API 为中心的架构。

驱动因素

越来越多的人对采用 OIDC 来取代面向客户和企业的新应用程序的SAML感兴趣。OIDC为 API 访问控制、隐私监管、同意管理、逐步身份验证、合规性和自适应访问实施带来的优势将加速其达到稳定状态。
OIDC 是一种使用一组用户凭证访问多个站点和 API 的方法，可提高可用性。
事实证明，与基于 XML 的标准（例如 SAML）或纯专有实现相比，OIDC 可以让身份交互更加无缝地进行，对开发人员的阻力更小，并且比之前的协议具有更高的安全性。
OIDC 已经成熟，并获得了良好的支持。组织可以通过OpenID Connect Foundation找到经过认证的解决方案，该基金会根据 OIDC 的服务器一致性配置文件对解决方案进行认证。
金融、政府和医疗保健机构可以从日益增多的工作中受益，以对 OIDC 规范进行分析以支持行业垂直行业的使用，并进行微调。
我们正在努力扩展 OIDC 以支持更多用例。这包括在 OpenID 提供商和依赖方之间快速建立信任。这还意味着需要建立标准，以便使用相关技术（例如共享信号框架、持续访问评估配置文件 [CAEP] 和风险事件共享与协调 (RISC)）共享风险信号。
使用 OIDC4VC（OIDC 的扩展）进行去中心化身份 (DCI) 登录方式的采用日益增多。
为 OIDC 构建的扩展建立了联合服务（多边联合）的联合，该联合通常用于高等教育和医疗保健等特定行业，其中遵循一套共同的政策。

障碍

支持 OIDC 的 SaaS 应用程序列表不断增长；然而，它的市场渗透率仍然小于 SAML。
开发人员经常低估协议的复杂性，并从规范中“挑选”功能来构建自己的库，从而使实现变得不安全。

26、SASE

效益评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：零信任网络访问 (ZTNA) 是一款提供安全网络访问的软件。ZTNA 基于身份和设备上下文创建访问边界，涵盖企业用户以及内部托管的应用程序或一组应用程序。这些应用程序隐藏起来，无法被发现，并且访问权限通过信任代理限制为一组命名实体，从而限制了网络内的横向移动。

为什么重要

ZTNA通过信任代理，基于最小逻辑特权访问，实现用户与资源之间的自适应隔离。它允许组织隐藏私有资源，避免被发现和攻击。它通过混淆组织的基础设施，并创建仅包含用户、设备和资源的个性化“虚拟边界”，从而缩小攻击范围。

商业影响

零信任网络访问(ZTNA) 在逻辑上将源用户和设备与目标资源分离，从而缓解完全网络访问的威胁，并减少组织的攻击面。这改善了基于静态网络的 VPN 路由带来的部分用户体验(UX)问题，并通过定义为零信任策略的自适应访问控制，通过动态、细粒度的用户到资源分段实现了远程访问的灵活性。基于云的 ZTNA 产品提高了安全远程访问的可扩展性和易用性。

驱动因素

组织内部采用零信任策略，需要用安全的远程访问取代传统的基于网络的VPN。这可以实现对本地资源以及托管在基础设施即服务(IaaS)中的私有资源更精确、更自适应的访问和会话控制。
过去几年中，针对脆弱且暴露的传统 VPN 基础设施的攻击不断增多，这促使各组织寻求替代的安全远程访问方法。
IaaS 的采用和混合基础设施的兴起需要更灵活、安全的远程连接，以便直接访问资源，而不是路由到多个目的地的静态连接。
组织需要将供应商、厂商和承包商等第三方直接连接到资源，而无需使用全隧道 VPN 连接到其网络或将资源直接暴露给DMZ 中的互联网。
经历并购的组织需要能够将资源访问扩展到被收购的公司，而无需部署端点或互连其公司网络。

障碍

ZTNA 通常按指定用户、按用户/按年进行授权，价格大约是传统 VPN 的两倍或三倍。
基于云的信任代理可能无法在本地扩展策略执行点，与提供分布式执行点的通用 ZTNA 产品相比，这限制了用例。
组织必须为用户规划资源访问权限，并在风险降低和复杂性之间取得平衡。最终，组织的访问规则要么与被取代的VPN并无二致，要么访问规则过于精细，这将显著增加产品的长期管理开销。
成熟的零信任实施必须根据用户帐户和设备的上下文持续评估访问权限。许多组织发现，由于故障排除过程复杂，且基于波动的风险评分导致的访问控制不一致，这种做法难以大规模实施。
ZTNA 只是实现零信任态势的一种技术。为了发挥作用，它必须与其他技术（例如身份和访问管理产品）集成和部署。