智能手机是否“安全”，其实取决于具体的定义。例如，大多数允许“自带设备”(BYOD)政策的公司会在员工的手机上安装应用程序或代理程序，并利用Android/iOS移动操作系统的内置管理功能来加强对移动设备的保护。然而，Cloudflare觉得这还不够全面，本周它宣布推出两项专注于“零信任”的新服务。

这两项服务名为零信任SIM和零信任移动运营商，主要面向注重设备安全的企业和提供数据服务的运营商，旨在为目标智能手机用户提供增强的安全保护。

首先，我们来谈谈零信任SIM卡，它旨在保护所有离开智能手机的数据包。

一旦在美国推出，它将提供一整套基于eSIM的解决方案，可以通过现有的移动设备管理平台部署到iOS和Android设备上。

它可以锁定特定的设备，以降低SIM卡交换攻击的风险。除了在单机配置中使用，客户还可以将其与Cloudflare的WARP mobile agent配合使用。

在最近的一次电子邮件采访中，Cloudflare的首席技术官John Graham-Cumming指出：

零信任SIM方案可以完成VPN等安全层做不到的小区级保护。

结合硬件密钥，SIM卡可以作为另一个安全因素，这使得攻击者几乎不可能冒充他们的员工。

他解释说：零信任SIM提供深度防御，VPN只是一个组件级别。

后者无法消除今天在所有移动设备上部署蜂窝连接的需要，传统的AnyConnect虚拟专用网络也无法阻止攻击者在突破内网后进行横向传播。

我们目睹了组织在保护其应用程序和网络方面遇到的各种挑战和损害。从IT安全的角度来看，基于固定工作场所的保护方案也正在向保护远程和分布式工作人员的预算转变。

具体来说，零信任SIM将使Cloudflare能够重写DNS请求，以便设备可以使用Cloudflare Gateway进行DNS过滤。

该方案还支持每个主机和IP地址在到达互联网之前的认证，并开放服务和其他设备之间的“基于身份的连接”作为认证的附加因素。

虽然服务定价尚未公布，但Cloudflare将在未来几个月内推出零信任SIM。从计费角度来看，它将被视为该公司零信任平台的一部分，并有望兼容大多数设备。

(来自：Cloudflare博客)

Graham-Cumming补充说，它希望从美国开始，然后迅速向世界各地的客户介绍这项服务。

虽然还处于发展初期，但已经在车辆、支付终端、集装箱、自动售货机等工业物联网领域进行了规划。作为一项基础技术，零信任SIM还可以用于解锁许多新的用例。

然后，Cloudflare预览了新的物联网平台，旨在为一组互联设备提供单一控制台视图。

其面向微软Azure、亚马逊网络服务和谷歌云的物联网管理服务旨在处理物联网的订阅、配置、蜂窝连接管理和安全。

离开物联网设备的每个数据包在到达互联网、云或其他设备之前，都可以根据客户制定的策略进行检查、批准或拒绝。并且该设备可以被锁定到特定的地理位置，以确保敏感流量不会流经公共信道。

至于针对移动运营商的零信任(Zero Trust for Mobile Operators)服务，Cloudflare现阶段分享的细节还是相当有限的。

据悉，合作伙伴将可以从Cloudflare订阅零信任平台的移动安全工具，有兴趣的运营商可以从现在开始注册，了解更多信息。

一些人推测，新服务有望成为公司利润丰厚的新业务增长点，甚至超过三年前Cloudflare以免费增值模式推出的WARP。

根据Allied Market Research的数据，2020年，全球移动安全市场价值33亿美元，预计到2030年将达到221亿美元。

此外，一名消息人士称，随着供应链挑战和其他不利因素的加强，2021年企业物联网的支出增长了22.4%，达到1580亿美元。

(报告)