【零信任安全架构】行业案例深度复盘：Google、美国联邦政府与金融行业

零信任的理论文章很多，但真实的、公开可核实的工程案例很少。本文基于三个公开资料的案例——Google BeyondCorp（学术界最完整的零信任迁移记录）、美国联邦政府 EO 14028（有 GAO 和 CISA 的公开进度报告）和金融服务行业（有 FS-ISAC 的公开指南）——做工程视角的交叉对比。

前置阅读：BeyondCorp 六篇论文、零信任迁移策略。

一、三个案例的背景对比

二、Google BeyondCorp：7 年的工程演化

Google BeyondCorp 的时间线不是论文里的平滑叙事——它是工程师在实际迁移中的反复推倒：

2011：BeyondCorp 项目启动。Google 安全团队在 Operation Aurora 后提出”取消内网特权”的架构方向。但第一年的重点是先把概念说服领导层和安全合规团队——这不是技术问题。

2012：第一次尝试——自研客户端证书系统。失败了。 跨平台的证书管理复杂度（macOS、Windows、Linux、ChromeOS 上的不同证书管理 API）远超预期。Google 引入了第三方 CA 来管理设备证书，放弃自研。

2014：第一篇论文发表。此时 BeyondCorp 已经在部分内部应用上运行，但尚未全公司部署。发表论文既是技术分享，也是内部巩固——公开发表的论文成为了”这是我们承诺的架构”的约束。

2015-2016：访问代理（Access Proxy）和信任引擎到位。全公司的应用逐步迁移到 BeyondCorp 访问代理后面。最大的挑战：应用认证的剥离——对于没有标准认证的应用，Google 在访问代理层面做身份映射（将 SSO 身份映射为应用理解的 Header），应用代码不改动。

2017：用户体验论文发表。此时 Google 发现最尖锐的阻力不是安全，而是用户的抱怨——“为什么我连不上？”“为什么我的设备被标记为 Basic？” 自助排障门户和解释引擎在这一年上线。

2018：第六篇论文（机群健康）。BeyondCorp 全公司部署完成。但 Google 在论文中坦诚——并非所有应用都适合走 BeyondCorp 访问代理（实时协作应用在代理后面的延迟影响用户体验），而且合同工、合作伙伴、被收购公司的员工仍然是身份管理的灰色地带。

三、美国联邦政府：行政命令驱动的大规模迁移

2021 年 5 月 12 日，拜登签署 EO 14028（Improving the Nation’s Cybersecurity）——这是 SolarWinds 和 Colonial Pipeline 攻击后的直接回应。行政命令要求所有联邦机构在规定时间内采用零信任架构。

2022 年 1 月：OMB 发布 M-22-09 备忘录，明确了零信任目标。核心要求： - 在 2024 财年结束前（2024.9.30），所有机构必须达到 CISA ZTMM 的某些具体目标 - 强制使用防钓鱼 MFA（非 SMS/OTP） - 加密所有 DNS 请求和 HTTP 流量 - 全面的网络微分段

2023 年 4 月：CISA 发布 ZTMM v2.0。

2024-2025 年：GAO 和 CISA 的进度报告显示： - 85% 系统使用 MFA（5 个机构达到 100%） - 79% 系统数据静态加密 - 77% 系统数据传输加密 - 但更深层的零信任能力——网络微分段、实时设备姿态、自动化证书管理——大部分机构尚未达到 Advanced 等级

政府迁移和 Google 迁移的最大差异：

政府迁移的三个典型挑战： 1. 遗留系统：联邦机构有几十年前的主机系统，无法升级 TLS 或集成 SSO——身份桥接和反向代理包装是唯一的途径 2. 预算：零信任迁移是一次性的资金投入，但国会拨款是按年度分配的——连续性和优先级每年都可能变化 3. 人力：政府的网络安全人才竞争不过私营企业——零信任实施需要的高级安全工程师长期短缺

四、金融服务行业

金融行业的零信任实施有一个独特特征——监管驱动但身份碎片化。

FS-ISAC（金融服务信息共享与分析中心）为成员机构提供了零信任实施指南。金融行业的典型起点不是 mTLS 或微分段——而是PAM（特权访问管理）。原因：监管机构（OCC、Fed、FDIC）对”谁能访问生产系统和数据”的问题特别关注。

金融行业零信任的实施顺序：

1. PAM + JIT Access（通常最先）：银行的合规检查首先问”多少人有 root？” 零信任的 JIT Access 恰好回答了这个问题
2. 网络微分段：隔离支付网络、交易系统、客户数据系统和办公网络——大部分通过监管合规驱动
3. 身份联邦（最后）：银行通常通过收购其他银行来增长——每次收购都带来一个新的 IdP。身份联邦（合并多个 IdP 或将它们桥接）是金融行业零信任最慢的支柱

金融行业和 Google 的对比： - Google 在一个身份系统上建构零信任——这是最理想的起点 - 银行的典型结构是”10 个身份系统，部分不互通，每个都承载关键业务”——零信任迁移的第一个问题是”怎么先统一身份”

五、三个案例的共性教训

1. 身份统一是所有其他工作的前置条件。 零信任的核心依赖是”系统知道每个人和每个服务是谁”——如果身份系统碎片化，后续的微分段、mTLS 和持续验证都基于不可靠的身份。

2. 遗留系统不是技术不可行，而是”应用团队不愿动”。 在三个案例中都发现，只要业务系统被改动，就会招致应用团队的强烈抵触。零信任迁移的技术问题是可以解决的（sidecar、反向代理、身份桥接），但政治和组织阻力是真正的瓶颈。

3. 监控驱动的切流是防止灾难的唯一方法。 没有一个案例是”一天之内从 VPN 切到 ZTNA”。Google 的双路径并行运行持续了多年，美国政府机构在迁移中也在保持 VPN 可用于关键系统。通过数据驱动的验证——“新路径的流量占比是多少？”——来确定下一步是否可以推进。

4. 零信任最终是人的问题，不是产品的问题。 三个案例中都有同一个教训：安全团队不能只是”提供工具和文档”——零信任迁移需要安全团队和应用团队的深度协作，包括帮助应用团队理解 mTLS、配置 sidecar、测试新策略。

下一篇：零信任的新兴前沿。

参考资料

1. Google BeyondCorp Papers (2014-2018). USENIX ;login:.
2. Executive Order 14028. (2021). Improving the Nation’s Cybersecurity. The White House.
3. OMB. (2022). M-22-09: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles.
4. CISA. (2025). FY 2024 Zero Trust Architecture Implementation Report.
5. GAO. (2024). GAO-24-106291: FISMA Implementation Report.
6. FS-ISAC. (2023). Zero Trust Architecture for Financial Services.