零信任选型,市场上最大的陷阱是按功能清单选 。
SDP网关、SPA隐身、动态授权、沙箱水印------翻开任何一家厂商的方案,这些词都在。功能清单对齐度高达90%,但交付后的效果天差地别。
为什么?因为零信任的价值不在功能,在功能之间的连贯性 。感知层看不清终端状态,策略引擎再聪明也是瞎算;准入和零信任靠API桥接,持续验证就有秒级断点。
本文提供一套五刀法选型框架 ,按因果链排序------前一刀是后一刀的前提,逐层筛选择优。每刀给出具体的评估问题、判断标准和淘汰红线,可直接用于企业评审各家厂商。
第一刀:看感知层------你的零信任,"看"得到多深?
1、 为什么 感知层 排第一
零信任的本质是"基于状态做决策"。状态从哪来?从感知层来。感知不到,决策就是瞎猜。这不是"重要"的问题,是因果 的问题------感知层是因,其他所有层是果。
动态授权说"基于终端状态做决策"------但你确定你看得清终端的真实状态吗?
持续验证说"实时评估环境风险"------但你确定你评估的维度足够深吗?
最小权限说"只给必要的访问"------但你确定你分得清谁"必要"、谁"不必要"吗?
这些问题的答案,全部指向一个被忽视的能力:准入 控制(NAC) 。
准入,是零信任的感知器官。感知不到,判断就是瞎猜;判断是瞎猜,零信任就是假的。
|--------------|-----------------|------------------------|
| 授权维度 | 准入能力依赖 | 没有深度准入会怎样 |
| 你用什么设备 | 设备识别、指纹采集、合规检查 | 无法确认设备真实身份,虚拟机/伪装设备绕过 |
| 设备是否安全 | 补丁检查、杀毒状态、进程白名单 | 只能看表面合规,深度恶意软件检测不到 |
| 从哪里来 | 网络位置感知、VLAN拓扑识别 | 无法区分办公网/访客网/私接路由器 |
| 环境是否正常 | 行为基线、终端状态实时感知 | 准入放行后状态变化感知不到,持续验证形同虚设 |
2、 零信任五个授权维度对准入的依赖
四问四判评估法
|------------------|------------------------|------------------------------------|-----------------------------|
| 评估项 | 问厂商什么 | 判断标准 | 红线(不达标即淘汰) |
| 终端识别精度 | "你能识别设备真实身份吗?靠什么识别?" | 硬件级指纹(BIOS/主板/网卡序列号)>软件特征>客户端自报告 | 只靠客户端自报告 → 可伪造,淘汰 |
| 合规检查深度 | "你检查终端合规时,最细能查到什么级别?" | 注册表级/进程级/文件级/网络连接级(四级)>进程级>"杀毒装没装" | 只做表面级检查(有/没有)→ 看不出真实安全状态,淘汰 |
| 状态感知频率 | "终端入网后,你多久感知一次状态变化?" | 实时持续感知>分钟级轮询>仅入网时检查 | 仅入网时检查 → 持续验证是假的,淘汰 |
| 虚拟机/伪装检测 | "攻击者用虚拟机装你的客户端,你能识别吗?" | 能识别并降权/拒绝>能识别但不处理>不能识别 | 不能识别虚拟机 → 准入可被绕过,淘汰 |
市场主流方案真实水平
|------------|-------------|-------------|-------------|------------------|
| 能力 | 厂商A | 厂商B | 厂商C | 联软UniSDP |
| 终端识别 | 软件特征+部分硬件 | 统一身份中心为主 | 终端安全整合 | 硬件级指纹 |
| 合规检查 | 进程级 | 表面级+身份联动 | 杀毒+补丁+EDR | 四层级深度 |
| 状态感知 | 分钟级轮询 | 入网+定期 | 实时(云端) | 实时持续 |
| 虚拟机检测 | 有 | 有 | 有 | 有+降权策略 |
注意: 联软是准入起家再延伸零信任,深度是产品基因决定的。厂商C在云端实时感知这一项上确实很强,但内网准入场景覆盖不如联软。
3、 准入 基础能力不深入 的零信任在真实攻击面前会怎样?
场景一:虚拟机逃逸------你的"设备可信",真的可信吗?
某金融机构部署了某厂商的零信任方案。上线后安全团队很满意------"每个访问都经过身份验证和设备检查"。
攻击路径:钓鱼拿到员工凭证 → 在自己电脑安装企业零信任客户端 → 客户端报告"设备合规"(操作系统已打补丁、杀毒软件已安装、无违规进程)→ 零信任网关判定"设备可信",放行 → 攻击者进入内网横向渗透。
问题:零信任网关信任的"设备合规"信息来自客户端自报告,而客户端自报告的前提是准入系统有能力验证报告的真实性。
【准入控制能力深的方案会做:】
- 虚拟机/沙箱检测 :识别运行环境是否为虚拟机,虚拟机登录降权或拒绝
- 硬件指纹绑定 :不依赖软件自报告,采集BIOS、主板序列号等硬件级特征
- 进程深度检查 :不只看"杀毒软件在不在",而是检查杀毒引擎是否真正活跃、病毒库是否最新
- 网络环境感知 :检测设备是否通过私接路由器、代理服务器接入
【 准入浅的零信任: 】
客户端说什么就信什么。 而 准入 能力深厚 的零信任:客户端说的每一句,我都要验证。
场景二:合规但不安全------"杀毒装了"不等于"终端安全"
某企业零信任策略:安装了指定杀毒软件的设备方可访问业务系统。员工电脑中了APT,但杀毒软件------装了,图标在,进程在,病毒库是上个月的。零信任网关检查全部通过,判定设备合规,放行。
一台已经被APT控制的机器,凭借"杀毒装了"就拿到了零信任通行证。
【 准入 能力深厚 的方案会做:】
- 病毒库时效检查 :不只查"有没有",还查"新不新"------超过7天未更新则判定不合规
- 实时进程扫描 :不只看杀毒进程是否在运行,还扫描是否有可疑进程(如键盘记录器、远控木马)
- 注册表深度检查 :检测异常启动项、服务项、驱动项
- 网络连接检查 :检测是否有异常外连(C2通信)
零信任的策略写得再精细,如果准入的"合规检查"只有"有/没有"的颗粒度,策略就是纸老虎。
场景三:入网后失守------"持续验证"的断点
零信任的核心承诺是持续验证------不是一次放行就完事,而是访问过程中持续评估终端状态,异常即阻断。但"持续验证"的前提是:你能在访问过程中持续感知终端状态变化。这个能力从准入来。
准入控制能力不足的方案,终端合规检查发生在入网那一刻,入网通过后就"看不见"终端了------直到下一次入网检查。中间的状态变化(感染恶意软件、安装违规软件、合规策略变更),零信任系统无从得知。
准入浅的"持续验证":
入网检查 ✅ → 放行 → ⚠️ 终端感染恶意软件 → ❌ 零信任不知道 → 继续放行
↑
这里有巨大的盲区
准入深的"持续验证":
入网检查 ✅ → 放行 → ⚠️ 终端感染恶意软件 → 准入系统秒级感知 → 零信任即时阻断
↑
准入引擎持续在线监测
准入 能力 浅,持续验证就是"入网时验证一次";准入 能力深厚 ,持续验证才是"每一秒都在验证"。
第二刀:看融合度------准入和零信任,是"一体的"还是"拼起来的"?
1、 为什么这一刀重要
感知层达标后,第二刀看感知层和决策层、执行层之间的连贯性 。
零信任的信任链是从感知→决策→执行的连续过程。任何一环断裂,整个链路的可信度就崩了。准入检测到终端感染恶意软件 → 但零信任网关不知道 → 继续放行。这就是信任链断裂。
2、 三问三判评估法
|----------------|----------------------------------|--------------------------------|----------------------|
| 评估项 | 问厂商什么 | 判断标准 | 黄线(需警惕) |
| 策略一致性 | "准入策略和零信任策略是同一套还是两套?变更时需要配几次?" | 一套策略配一次>两套策略手动同步>两套策略经常冲突 | 准入和零信任是两个独立产品→策略迟早冲突 |
| 状态同步延迟 | "终端状态变化后,零信任网关多久能感知并做出响应?" | 同一引擎零延迟<1秒<秒级<分钟级 | 超过秒级→持续验证有窗口期 |
| 部署复杂度 | "准入+零信任部署,是装一个产品还是两个产品?配置界面是几个?" | 一个产品一个界面>两个产品两个界面但有向导>两个产品独立配置 | 两个独立产品→运维成本翻倍 |
3、 融合度的三种等级
Level 1:拼凑式 --- 准入和零信任是独立产品,靠API集成
- 特征:策略需要手动对齐,状态同步有延迟,运维两套界面
- 风险:策略冲突、同步延迟、运维成本翻倍
Level 2:集成式 --- 准入和零信任在同一产品内,但模块独立
- 特征:一个产品交付,但内部是两个模块,策略引擎有重叠但不完全一致
- 风险:模块间数据传递可能有损耗,深度定制场景需验证
Level 3:原生融合式 --- 准入和零信任共享同一策略,同一管控面
- 特征:一套策略、一个界面、零延迟联动、架构上不可拆分
- 风险:最少------但要确认SDP的独立性能是否受准入资源占用影响
拼凑式架构:
准入系统 ←策略同步→ 零信任网关 ←策略同步→ 数据安全
↑ 串行同步,有延迟,有冲突风险
联软一体化架构:
UniNAC(准入感知层)
↕ 同一引擎,零延迟
UniSDP(零信任决策层)
↕ 同一引擎,零延迟
数据安全(防护执行层)
↑ 一体化信任链,从入网到数据全贯通
联软零信任是在准入能力基础上原生生长出来的,两者共享同一终端感知引擎、同一策略引擎、同一管控平台、同一信任链------从入网(准入)到访问(零信任)到数据(安全),信任评估连续无断点。
翻译成客户感受:
- 厂商A:功能都有,但联动要配置,准入做得不够深
- 厂商B:架构合理,但准入和零信任是两套产品,运维要兼顾
- 联软:开箱即用,准入和零信任天然是一体的,信任链没有断点
4、 为什么要卡这一刀
很多客户在选型时只看功能清单:"你有没有准入?有。你有没有SDP?有。行,功能齐了。"
但功能齐不等于能力通。准入和零信任之间的"缝隙",就是攻击者的通道。
客户真实痛点:某金融客户同时买了A厂商的准入和B厂商的零信任,结果------准入检测到终端不合规→通知零信任→零信任策略更新→但通知有3秒延迟→这3秒内不合规终端继续访问核心系统。
3秒,够了。
第三刀:看行业适配------你跑过我的行业吗?
前两刀是通用能力,第三刀开始看场景匹配度 。
1、 三个"有没有"评估法
|-------------------|----------------------------------------------|-----------------------------------------|
| 评估项 | 看什么 | 怎么验证 |
| 有没有同行业案例 | 不只是"服务过XX行业",而是同行业同规模同场景的交付案例 | 要求厂商提供同行业同场景的参考客户,最好能交流 |
| 有没有行业特殊适配 | 每个行业有自己的"硬骨头"------金融的交易高可用、制造的多厂区组网、政府的信创替代 | 直接问:"XX行业最难的XX问题,你怎么解决?"看他说的是通用方案还是行业方案 |
| 有没有行业合规支撑 | 金融有银保监/证监要求,政府有等保/关基要求,医疗有卫健委要求 | 问:"你的方案能出XX合规报告吗?审计时能直接用吗?" |
2、 信创适配------2024年后的硬门槛
央国企和金融机构的信创替换进入深水区。很多零信任方案在x86环境下跑得很好,一到信创环境就各种兼容性问题。
联软信创适配全栈覆盖:
|------------|----------------|
| 层级 | 适配范围 |
| 操作系统 | UOS/麒麟/统信 |
| CPU | 鲲鹏/飞腾/海光 |
| 数据库 | 达梦/人大金仓 |
| 网络设备 | 中兴/华为等80+交换机品牌 |
联软在信创环境的适配深度是经过大量生产验证的,不是实验室跑通就算数。这对正在做信创替换的客户来说,是省掉无数坑的关键。
第四刀:看运维可操作性------你的团队用得动吗?
这一刀最容易被忽略,但对项目成败影响最大。大量零信任项目失败不是因为技术不行,而是因为运维团队扛不住。
1、 四个"能不能"评估法
|----------------|------------------------|------------------------------------|
| 评估项 | 问什么 | 判断标准 |
| 能不能快速配 | "新业务上线,从配置访问策略到生效要多久?" | 5分钟内(图形化配置)<30分钟(需写规则)<2小时(需跨系统配置) |
| 能不能看清楚 | "出安全事件后,从发现到定位到根因要多久?" | 一键溯源<10分钟<30分钟<需要查多个系统 |
| 能不能改得起 | "策略变更后,影响范围能预判吗?能回滚吗?" | 变更前模拟影响+一键回滚>能回滚但需手动>改了就改了 |
| 能不能管过来 | "告警量大的时候,怎么区分真告警和误报?" | 智能聚合+降噪>人工筛选>告警风暴 |
2、 联软统一管控的真实价值
别的厂商运维日常:
准入系统配一条规则 → 零信任系统配一条规则 → 手动确保两条规则一致
出问题后排查:是准入规则没同步?还是零信任规则写错了?
运维团队要懂两套系统的逻辑
联软运维日常:
一个界面配一条规则 → 准入和零信任同时生效
出问题后排查:就一个地方,一目了然
运维团队只学一套逻辑
量化影响:
- 策略变更时间:从跨2-3小时变成5分钟
- 故障排查范围:从3个系统收敛到1个平台
- 运维学习成本:从学两套产品变成一套
- 策略冲突风险:从"可能存在"变为"不可能"
第五刀:看功能清单+TCO------到这一步,功能差异已经不是决定性的了
前四刀筛完,留下的候选方案通常不超过2-3家。这时候才看功能清单。
1、 为什么放最后
因为前四刀已经把核心差异筛出来了:第一刀筛掉了感知层不达标的,第二刀筛掉了融合度不够的,第三刀筛掉了行业不匹配的,第四刀筛掉了运维扛不住的。到第五刀,剩下的方案功能层面基本同质------SDP网关、SPA隐身、动态授权、沙箱水印,大家都有。
2、 这时候看什么
|--------------------|----------------------------------|
| 看什么 | 为什么 |
| TCO(总拥有成本) | 3年周期算总账:产品费+部署费+运维费+扩容费 |
| 生态开放度 | 能不能对接已有安全体系(EDR/SIEM/SOC),避免再建孤岛 |
| 演进路线图 | 下一步做什么?云网融合?跟你的规划合拍吗? |
| 服务支撑 | 本地交付团队有几人?响应时效?有没有同行业的驻场经验? |
3、 五刀速查表
|-------------|-------------|-------------------|-----------------|------------------|
| 刀序 | 看什么 | 核心问题 | 淘汰标准 | 联软位置 |
| 第一刀 | 感知层 | "你的零信任看得多深?" | 准入只做表面检查 → 淘汰 | ★★★★★ 通过 |
| 第二刀 | 融合度 | "准入和零信任是一体的还是拼的?" | 两套系统靠API → 警惕 | ★★★★★ 通过 |
| 第三刀 | 行业适配 | "你跑过我的行业吗?" | 没有同行业同规模案例 → 警惕 | 金融/制造/信创 ★★★★★ |
| 第四刀 | 运维可操作性 | "我的团队用得动吗?" | 配策略要2小时+ → 警惕 | ★★★★★ 通过 |
| 第五刀 | 功能+TCO | "算总账,谁更值?" | 无特殊淘汰标准 | 功能够用,TCO看具体项目 |
零信任选型,不是选功能最多的,而是选信任链最完整 的。
感知层地基,融合度是结构,行业适配是场地条件,运维可操作性是使用体验,功能TCO是性价比。地基不牢,楼盖再漂亮也是危楼。准入不够深,零信任就是假的。
联软科技------20年准入基因,全网零信任的真正底座。