零信任商業(yè)價值綜述 2023

@2023云安全聯(lián)盟大中華區(qū)－保留所有權(quán)利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)（）。須遵守以下a）本文只可作個人、信息獲取、非商業(yè)用途b）本文內(nèi)容不得篡改c）本文不得轉(zhuǎn)發(fā)；（d）該商標、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時請注明引用于云安全聯(lián)盟大中華區(qū)。?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有3致謝）：零信任研究和指導(dǎo)的范圍必然包括云和內(nèi)部部署環(huán)境以?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有4主要作者：JasonGarbisAlexSharpe貢獻者：ElierCruzJonathanFlackNelsonSpessardJrAkinIsinkayeJoshWoodruffChristopherSteffenErikJohnsonHeverinJoyWilliamsSaifAzwarJosephRobleeAndreaKnoblauchRajeshMurthyRohiniSulatyckiMeghaKalsiLarsRuddigkeit審校者：MichaelRozaOsamaSalahCSA分析師：ErikJohnson在此感謝以上專家。如譯文有不妥當(dāng)之處，敬請讀者聯(lián)系C雅正！聯(lián)系郵箱research@c-c5?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有5序言零信任是基于復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境誕生的一種新的網(wǎng)絡(luò)安全策略，它的出現(xiàn)同時也改變了企業(yè)的運營流程并促使了對安全合規(guī)的重視。CSA針對零信任提出了七個原則，這七個原則是讓零信任比別的安全策略更為高效的核零信任的核心意味著企業(yè)對于任何訪問的信任都是從零開始的，為了幫助人們理解零信任，CSA概況了三種方法，分別是以始為終、泄露總會發(fā)生、風(fēng)險控制。在了解了這三種方法之后，企業(yè)可以更容易地理解零信任并接受它帶本白皮書以商業(yè)價值為核心，提出了提高運營效率、減少成本、提高運營韌性、降低風(fēng)險、提高合規(guī)性、降低合規(guī)成本等好處。文中包括了14種商業(yè)價值，針對各類企業(yè)的方方面面，并且它們都有著固定的格式，以供安全專家零信任現(xiàn)已被許多企業(yè)初步采用，其安全高效的特性被許多企業(yè)所青睞著，它的出現(xiàn)意味著企業(yè)將從上而下地實施著更好的安全措施。然而，這需要安全專家清晰地傳達零信任的商業(yè)價值，并為此計劃，才能讓企業(yè)在當(dāng)下的網(wǎng) 4 6 9 9 9 10 12 13 14 14 15 16 18 19 20 21 22 23 24 25 26 27 27?2023云安全聯(lián)盟大中華區(qū)版權(quán)所 28 29 30 31 32 33 34 35 35 35 35 36 36 38摘要零信任是一個大規(guī)模的產(chǎn)業(yè)趨勢，被全世界許多組織采用以及宣傳；它帶來了更好的安全性能同時減少支出并提高商業(yè)效率以及靈活性。然而，“零信任”作為一個行業(yè)專有名詞存在被錯誤理解或者難以理解。業(yè)務(wù)領(lǐng)導(dǎo)與非安全專業(yè)人才，例如重要參與者，預(yù)算持有人，以及維護者，他們在各個組織零信任發(fā)展的道路上影響著第一步的成敗。這是因為，采用零信任作為一種組織戰(zhàn)略，從根本上講，需要在整個企業(yè)中進行改變、支撐和投入大量的時間、精力和金錢。所以，安全人員需要傳達零信任的理念給非技術(shù)以及非專業(yè)人員，從下到上直到董事會的成員。我們相信信息安全產(chǎn)業(yè)仍未能讓從業(yè)人員簡潔直接面向人群該文檔主要面向人群是信息安全專家與從業(yè)者，他們希望向各個組織里的該文檔次要面向人群是各個組織里的非技術(shù)、非安全方面的從業(yè)者。這份該文檔為信息安全專家提供信息與思路，以此來有效溝通與展示為什么他們的組織應(yīng)該投資零信任安全戰(zhàn)略。這些溝通是為了向內(nèi)部參與者展示：例如非安全方面IT人員，企業(yè)規(guī)劃人員，財務(wù)與預(yù)算團隊，業(yè)務(wù)線經(jīng)理，應(yīng)用程序所有者，企業(yè)首席高管（CEO:首席執(zhí)行官，COO:首席運營官，CFO:首席財務(wù)這份白皮書使得安全專家能夠向組織里的業(yè)務(wù)領(lǐng)導(dǎo)與重要參與者展示采用1.什么是零信任？零信任是一個基于若干核心原則的網(wǎng)絡(luò)安全戰(zhàn)略，以簡單的、具有可觀的積極影響方式作用于組織的架構(gòu)、方式、運營。根據(jù)美國國家安全電信咨詢委員（NSTAC）《零信任和可信身份管理報告》中的表述：“零信任是一個網(wǎng)絡(luò)安全戰(zhàn)略，假定沒有任何用戶和資產(chǎn)被隱式信任。它默認破壞已經(jīng)發(fā)生或者即將發(fā)生，所以，企業(yè)范圍內(nèi)的用戶不應(yīng)該通過簡單的認證就允許訪問敏感信息。反而每個用戶、設(shè)備、應(yīng)用以及交易必須不間斷地驗證身份?！备鶕?jù)美國國家標準與技術(shù)研究院（NIST）發(fā)布的《零信任建設(shè)》（SP800-“零信任（ZT）是一個術(shù)語，它是一個不斷進化的網(wǎng)絡(luò)安全范式的集合，從基于網(wǎng)絡(luò)邊界的靜態(tài)防御，到專注于用戶、資產(chǎn)、以及資源。零信任架設(shè)沒有任何隱式信任賦予物理或者網(wǎng)絡(luò)位置（局域網(wǎng)或者互聯(lián)網(wǎng)）的資產(chǎn)或者用戶賬戶，或者基于資產(chǎn)擁有權(quán)（企業(yè)所有或者個人所有）來賦予信任。驗證和授權(quán)（訪問主體和設(shè)備）是獨立的功能，作用在與企業(yè)資源的NIST文檔還提出，零信任“不是單個架構(gòu)而是一系列關(guān)于流程、系統(tǒng)設(shè)計和運營的指引原則，它可用作改進任意分類或者敏感等級的安全態(tài)勢。”其中1Someinternationaleffortsus總體來說，零信任很大的程度不同于傳統(tǒng)的、基于信任的“城堡護城河”物理網(wǎng)絡(luò)邊界安全架構(gòu)，因為傳統(tǒng)架構(gòu)在云計算、遠程辦公、威脅加劇的時代老練的攻擊者越來越精于利用在現(xiàn)代高級的分布式企業(yè)網(wǎng)絡(luò)中暴露出的技術(shù)或者人力薄弱點，時常嚴重地影響網(wǎng)絡(luò)連接穩(wěn)定性。成功的網(wǎng)絡(luò)攻擊基本上險的薄弱點必須被排除。在零信任中，所有的網(wǎng)絡(luò)數(shù)據(jù)包都是不可信的，同其他在系統(tǒng)中經(jīng)過的數(shù)據(jù)包分別單獨對待。信任等級實質(zhì)上為零，所以被稱之為零信任。值得注意的是，這個方法關(guān)注的是從數(shù)字系統(tǒng)中移除信任，而不是人零信任是一個全面的網(wǎng)絡(luò)安全戰(zhàn)略，包含云/多云，內(nèi)部和外部伙伴/參與者用戶（企業(yè)設(shè)別或者自帶設(shè)備）端點，私有部署以及混合系統(tǒng)，包括IT（信息技術(shù)），OT（運營技術(shù)）和IoT（物聯(lián)網(wǎng)）。零信任不是產(chǎn)品（盡管基于零信任的安全基礎(chǔ)設(shè)施可以利用各種不同的產(chǎn)品來實施），也不需要組織剔除更換原有的安全基礎(chǔ)設(shè)施。零信任驅(qū)動著新一代的信息安全的架構(gòu)方法，使得資源與控制的進行對齊來保證最低權(quán)限的訪問，保證每個網(wǎng)絡(luò)數(shù)據(jù)包視作不可零信任方法是一個慎重和謹慎的戰(zhàn)略，指引著組織對于基礎(chǔ)技術(shù)的選擇和部署，包括身份、設(shè)備、網(wǎng)絡(luò)，應(yīng)用和數(shù)據(jù)盡可能的安全。契合零信任的慎重決定反映了對于日漸增長的危險的認識，以及對更穩(wěn)固和適應(yīng)性強的安全態(tài)勢的需求，利用基于風(fēng)險的方法來授權(quán)訪問。零信任的采用包括動態(tài)環(huán)境、嚴格通過慎重地采用零信任方法，組織志在通過以一個更警惕和懷疑的態(tài)度面零信任現(xiàn)處在被企業(yè)大量應(yīng)用的早期階段，而且是美國聯(lián)邦政府新的網(wǎng)絡(luò)安全策略的必要部分。同樣地，我們期望持續(xù)關(guān)注如何成功在組織中采用零信2.對零信任的理解誤區(qū)零信任安全是一個戰(zhàn)略，不是即買即用的，或者開發(fā)即可實施的。作為一個戰(zhàn)略，它將影響你的思維、決策、優(yōu)先級和個戰(zhàn)略意味著您的組織架構(gòu)將會升級和進化到零信任架構(gòu)。應(yīng)用得當(dāng)?shù)脑?，零信任指引著您對于技術(shù)架構(gòu)的選擇和部署，包括身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)零信任不是防止數(shù)據(jù)泄露的一招致勝絕招。盡管大多數(shù)泄露僅包含數(shù)以千計的數(shù)據(jù)記錄，但百萬記錄級別數(shù)據(jù)的泄露會使得代價成指數(shù)級上升。警惕性零信任不僅僅是技術(shù)。市面上有大量的安全技術(shù)，在明確的環(huán)境中對威脅對癥下藥。相比技術(shù)，零信任更關(guān)注的是人和流程，它需要的是齊心協(xié)力，把零信任并不難，但它要求安全和技術(shù)團隊與業(yè)務(wù)方（這個文檔的重點）建立合伙關(guān)系。這帶來了組織內(nèi)的文化轉(zhuǎn)變，可能會一時難以適應(yīng)，但當(dāng)這個關(guān)3.商業(yè)價值綜述綱領(lǐng)商業(yè)價值綱領(lǐng)由CSA國際云安全聯(lián)盟零信任工作組編撰，其中包括幾個可以始為終：這個方針鼓勵人們在零信任過程的開始建立關(guān)于組織期望方向與明確的展望目標。與商業(yè)價值相關(guān)的期望結(jié)果包括減少合規(guī)成本、事故的經(jīng)泄露總會發(fā)生：承認這個事實使得機構(gòu)不再要求100%安全這種不現(xiàn)實的目風(fēng)險控制：這是零信任中的關(guān)鍵元素。理解組織的風(fēng)險偏好可以提供一個容許風(fēng)險的閾值。零信任的目標幫助機構(gòu)將內(nèi)在風(fēng)險減少至可接受范圍，通過實施控制減少可能性、影響，或二者兼而有之。這可使組織變得更堅韌以及更采用基于風(fēng)險的優(yōu)先級將幫助組織理解和識別他們需要解決的差距。組織可以做個穩(wěn)妥的決策來選擇出發(fā)點–通常從小問題出發(fā)是情理之中，通過快速達成短期目標來改善安全態(tài)勢并建立零信任倡議的推動力。當(dāng)選擇一個較小且低風(fēng)險的保護面作為試點時，獲得和維護領(lǐng)導(dǎo)層的接納會更容易，這樣就可傳達零信任的商業(yè)價值將有效鼓勵領(lǐng)導(dǎo)層來發(fā)布正確的指令，為成功的零4.商業(yè)價值4.1商業(yè)價值的含義？這一章節(jié)是為了向讀者介紹普遍的核心商業(yè)概念和術(shù)語。提供了基礎(chǔ)詞匯和概念模型使得讀者提出更有價值的問題，理解商業(yè)驅(qū)動因素，構(gòu)筑一個具有商業(yè)意義的零信任應(yīng)用案例。這一章節(jié)并不是全面的商業(yè)或者金融管理介紹，除了營利性企業(yè)之外，還有許多不同類型的組織，包括非營利性組織、政府機構(gòu)，以及監(jiān)管機構(gòu)，它們并不是傳統(tǒng)的企業(yè)。比如一個為了監(jiān)管銀行產(chǎn)業(yè)的聯(lián)邦政府機構(gòu)就不是一個“企業(yè)”，但它仍企業(yè)運作在財務(wù)或者績效指標上，已經(jīng)發(fā)展出一套全面的標準來衡量這些指標。如果你的組織是一家公開貿(mào)易的公司，就需要公開報告財務(wù)狀況。這些報告對你來說是必讀的，因為它們將你與組織的指標和績效聯(lián)系起來，包括面盡管并非所有以下的指標都適用于每個組織，這個列表涉及了幾個你應(yīng)該熟悉的指標。為了了解組織的具體情況，最明智的可能是在做了一些基礎(chǔ)調(diào)查后，找財務(wù)部門一位友好的同事，問下他們哪些財務(wù)術(shù)語和指標是對你的組織2Therearealsoreputablewebrefe不同的角色有著不同的興趣傾向。例如股東傾向于對健康的股價和/或可靠的股息感興趣。另一方面，其他利益相關(guān)方對別的指標更為在乎，這根據(jù)他們4.1.2商業(yè)價值與風(fēng)險企業(yè)很大程度上在乎風(fēng)險。風(fēng)險控制（RM）原則提出四種風(fēng)險處理方式：充分。我們知道風(fēng)險轉(zhuǎn)移，常見于保險，并不防止事故，而且很多時候?qū)嶋H的緩解需要一系列的管控（技術(shù)、人員、流程）來減少風(fēng)險直至可接受范圍。通常來說，管控會花費金錢，消耗資源，并放慢事務(wù)的進度。由于零信任是企業(yè)的整體戰(zhàn)略，因此一個平臺和策略模型就可以為隱私、安全、合規(guī)性和第三方風(fēng)險管理（TPRM）等其他領(lǐng)域奠定基礎(chǔ)。零信任架構(gòu)將在基礎(chǔ)設(shè)施技內(nèi)部威脅的風(fēng)險對于組織來說是最難管理的，因為它涉及有效訪問權(quán)限的合法用戶（例如員工、前員工、承包商或者商業(yè)伙伴），他們擁有著有關(guān)組織安全條例、數(shù)據(jù)和計算機系統(tǒng)的內(nèi)部信息。威脅可能涉及欺詐、盜竊資產(chǎn)、盜竊知識產(chǎn)權(quán)，甚至是破壞。其通常來自內(nèi)部人員的事故涉及有效訪問的濫用。零信任通過執(zhí)行最小權(quán)限的原則，在授權(quán)對資產(chǎn)的訪問之前，要求正確的身份證明（認證）和有效訪問權(quán)（授權(quán)），以此來減少內(nèi)部威脅的可能性。它還通第三方風(fēng)險管理，有時被稱為供應(yīng)商風(fēng)險管理或者供應(yīng)鏈管理，是評估和減輕供應(yīng)商（例如供應(yīng)商，商業(yè)伙伴和供應(yīng)鏈成員）引入的風(fēng)險的實踐。這一過程通常從關(guān)系剛形成時就開始，并持續(xù)維持，包括至關(guān)系結(jié)束時。零信任戰(zhàn)略通過提供更好的可見性和控制來減少任何第三方安全事件的影響，并賦予供4.2信息安全的商業(yè)價值簡單來說，信息安全是指對公司的數(shù)字資產(chǎn)、系統(tǒng)和數(shù)據(jù)的保護和保障。通過實施有效的安全措施，企業(yè)可以最小化未授權(quán)訪問、數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險，使其正常運營，維持客戶和合作伙伴的信任，避免因安全事件造成的隨著商業(yè)和數(shù)字化經(jīng)濟的普及，信息安全成為組織內(nèi)部和董事會的首要關(guān)3TheInternationalStandardsOrganization(ISO注點。世界經(jīng)濟論壇（WEF）指出，超過60%的國內(nèi)生產(chǎn)總值（GDP）是數(shù)字化的4，同時美國國家經(jīng)濟研究局（NBER）認為企業(yè)估值主要由無形資產(chǎn)驅(qū)動，其中包括數(shù)據(jù)和知識產(chǎn)權(quán)（IP）5。這些資產(chǎn)逐漸成為攻擊和破壞的目標，（Integrity）和可用性（Availability），它們共同構(gòu)成了CIA三要素。安全策如果實施得當(dāng)?shù)脑?，信息安全?yīng)該也可以支持企業(yè)的使命。安全性通過保護企業(yè)認為貴重的資產(chǎn)來減少對整個企業(yè)的風(fēng)險，以此來支撐企業(yè)。信息安全的成功實施有著額外好處，可以促進對國際和國內(nèi)標準和法規(guī)的合規(guī)。遵從許保護，正確的風(fēng)險管理，限制對受保護數(shù)據(jù)和流程的訪問，以及如何保護這些從風(fēng)險管理（RM）和合規(guī)性的角度來看，信息技術(shù)（IT）和運營技術(shù)（OT）系統(tǒng)代表了相當(dāng)大的風(fēng)險來源，必須通過實施技術(shù)或者流程控制來降低風(fēng)險。這些控制可以是自定義，或者像遵從法規(guī)一樣通過外力來強加給它們。組織通常必須通過合規(guī)性報告或者審核流程來證明他們的控制是如何按照預(yù)期零信任通過確?，F(xiàn)有控制按預(yù)期進行來提高安全性，并為組織提供進一步/agenda/2022/05/a-digital-silver-bullet-5BureauofEconomicResearch?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有加強這些控制的持續(xù)改進規(guī)劃。在沒有固有信任的環(huán)境中，安全團隊通過使用風(fēng)險框架來監(jiān)視、識別、保護、檢測、響應(yīng)，并從感知到的和現(xiàn)有的威脅中修復(fù)。這有助于分清輕重緩急，因為任何組織都沒有無限的資源和時間。零信任零信任不僅提高了控制效率。作為一種首要的戰(zhàn)略和架構(gòu)，零信任打破了組織內(nèi)部的壁壘，將IT、安全、應(yīng)用、架構(gòu)和商業(yè)整合在一個統(tǒng)一的構(gòu)想下，4.3為零信任投資做商業(yè)案例一般來說，商業(yè)案例的研究輔助組織的利益相關(guān)方做出關(guān)于的項目提案的可行性決定，并且它的使用被認為是私營和公共組織的標準實踐。商業(yè)案例通常是一個文檔化、結(jié)構(gòu)化的提案，準備它是為了幫助組織決策者對提案的投資收益來描述投資或者項目的理由與解釋。它確定了要滿足的高級需求，并提供了對提案的替代解決方案的分析（包括拒絕或者推進每個選項的理由）、假設(shè)、約束、風(fēng)險調(diào)整后的成本效益分析、初步收購策略。它還可能包括財務(wù)指信息安全投資和創(chuàng)收之間很少有足夠的聯(lián)系來使得計算ROI或者NPV的可行性。相反，信息安全投資通常被視為降低TCO的因素，或者作為推動商業(yè)價不同的組織有不同級別的形式、過程和架構(gòu)來進行決策，并且對商業(yè)案例商業(yè)案例一個不變的方面是它必須體現(xiàn)商業(yè)價值，這是這份文檔的主要關(guān)注點。接下來的章節(jié)提供了零信任倡議實現(xiàn)商業(yè)價值的14種不同方式。當(dāng)你確定了適用的領(lǐng)域，你可以適當(dāng)?shù)亓炕鼈?，并結(jié)合到你的組織需求的商業(yè)案5.零信任的商業(yè)價值如前文所述，零信任是一個增強的安全和風(fēng)險管理方式，它假定身份（真），務(wù)器、計算實例、容器或功能）在默認情況下是不可信的。所有的訪問依賴于零信任需要持續(xù)投入時間、資源和預(yù)算，但作為回報，它帶來了安全、技零信任不同于之前的安全方法，它們承諾了部分或全部這些好處。具體而5.1商業(yè)價值：成本節(jié)約與優(yōu)化5.1商業(yè)價值：成本節(jié)約與優(yōu)化為什么對企業(yè)重要：減少安全措施的總擁有成本(TCO),更高效地分配業(yè)務(wù)單位的資源，而不是一各自為政(資本支出、運營支出、人員)零信任如何幫助：減少對傳統(tǒng)安全系統(tǒng)的需求，降低安全漏洞的風(fēng)險，減少恢復(fù)成本，簡化安全體系結(jié)構(gòu)，自動化提高生產(chǎn)力對誰重要：關(guān)注成本降低和風(fēng)險管理的高管(CFO、CISO、CIO)、IT和安全團隊以及需要安全訪問他們?nèi)粘９ぷ髻Y源的員工零信任允許組織通過標準化和簡化用戶與設(shè)備訪問來整合不同的冗余工具和技術(shù)，例如用單個訪問工具替換遠程訪問工具(例如VPN)和本地訪問工具(例如NAC)。這意味著企業(yè)可以減少購買、部署和維護冗余的基于邊界的安全解決方案相關(guān)的成本。由于它們更新，零信任平臺傾向于使用普遍接受的最佳實踐、現(xiàn)有標準和廣泛采用的協(xié)議，這提高了系統(tǒng)的互操作性，還可能消除對定制集成的需求并減少部署工具的數(shù)量。零信任安全措施通過什么方式零信任可以降低連接和寬帶成本，特別是在傳統(tǒng)企業(yè)的IT基礎(chǔ)設(shè)施中。組織可以減少或消除對MPLS和SD-WAN等昂貴的專用鏈路的需求，并依賴互聯(lián)網(wǎng)作為其公司網(wǎng)絡(luò)。這種方法消除了對邊界的依賴，允許每個用戶到每個資源的點對點訪問，從而大幅度節(jié)省了站點間網(wǎng)絡(luò)或者通過數(shù)據(jù)中心回程一切的相關(guān)成本。零信任可以改進流程，發(fā)現(xiàn)更多節(jié)約成本的機會。通過自動執(zhí)行訪問請求和審批來提高安全流程的效率，減少人工干預(yù)，從而減少管理開銷并提高生產(chǎn)力。此外，零信任簡化了安全架構(gòu)，降低了管理的復(fù)雜性和開銷，以及安全漏洞的風(fēng)險。通過降低安全漏洞的可能性和影響，零信任降低數(shù)據(jù)泄露的總體和單個事件的成本。它可以通過限制泄露的程序直接降低成本，從而最大限度減少損失和恢復(fù)成本。它還可以通過減少數(shù)據(jù)泄露的發(fā)生，間接降低成本。此外，零信任可以通過更嚴格和更有效的安全控制來幫助企業(yè)減少保險開銷。零信任還可能更快地準備和保護新的基礎(chǔ)設(shè)施，因為企業(yè)可以減少在新設(shè)備上建立用戶和執(zhí)行安全策略所需的時間和精力。章節(jié)格式為了更容易地傳遞這些總體目標，我們用一頁的篇幅簡潔地展示它們。以5.1商業(yè)價值：成本節(jié)約與優(yōu)化減少安全措施的總擁有成本（TCO），更高效地分配業(yè)務(wù)單位的資源，而減少對傳統(tǒng)安全系統(tǒng)的需求，降低安全漏洞的風(fēng)險，減少恢復(fù)成本，簡化關(guān)注成本降低和風(fēng)險管理的高管（CFO、CISO、CIO）、IT和安全團隊以及零信任允許組織通過標準化和簡化用戶與設(shè)備訪問來整合不同的冗余工具和技術(shù)，例如用單個訪問工具替換遠程訪問工具（例如VPN）和本地訪問工具（例如NAC）。這意味著企業(yè)可以減少購買、部署和維護冗余的基于邊界的安全解決方案相關(guān)的成本。由于它們更新，零信任平臺傾向于使用普遍接受的最佳實踐、現(xiàn)有標準和廣泛采用的協(xié)議，這提高了系統(tǒng)的互操作性，還可能消除零信任可以降低連接和寬帶成本，特別是在傳統(tǒng)企業(yè)的IT基礎(chǔ)設(shè)施中。組織可以減少或消除對MPLS和SD-WAN等昂貴的專用鏈路的需求，并依賴互聯(lián)網(wǎng)作為其公司網(wǎng)絡(luò)。這種方法消除了對邊界的依賴，允許每個用戶到每個資源的點對點訪問，從而大幅度節(jié)省了站點間網(wǎng)絡(luò)或者通過數(shù)據(jù)中心回程一切的相零信任可以改進流程，發(fā)現(xiàn)更多節(jié)約成本的機會。通過自動執(zhí)行訪問請求和審批來提高安全流程的效率，減少人工干預(yù)，從而減少管理開銷并提高生產(chǎn)力。此外，零信任簡化了安全架構(gòu)，降低了管理的復(fù)雜性和開銷，以及安全漏通過降低安全漏洞的可能性和影響，零信任降低數(shù)據(jù)泄露的總體和單個事件的成本。它可以通過限制泄露的程序直接降低成本，從而最大限度減少損失和恢復(fù)成本。它還可以通過減少數(shù)據(jù)泄露的發(fā)生，間接降低成本。此外，零信零信任還可能更快地準備和保護新的基礎(chǔ)設(shè)施，因為企業(yè)可以減少在新設(shè)5.2商業(yè)價值：運營韌性運營韌性是在任何危險造成的中斷下依然可以開展業(yè)務(wù)包括關(guān)鍵業(yè)務(wù)和核心業(yè)務(wù)功能等運營的能力。企業(yè)運營通常完全依靠IT技術(shù)和系統(tǒng)可靠的IT基礎(chǔ)架構(gòu)將會對企業(yè)產(chǎn)生重大的破壞性影響。企業(yè)運營的基礎(chǔ)架構(gòu)系默認情況下，零信任架構(gòu)中的系統(tǒng)和設(shè)備彼此隔離。只有通過驗證和授權(quán)零信任的細粒度隔離降低了攻擊者執(zhí)行偵察或橫向移動的能力。攻擊的影響范圍越小，整個系統(tǒng)的韌性更強。零信任平臺還通過快速適應(yīng)和允許訪問變化的環(huán)境（例如DR站點），從而改進業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的準備和執(zhí)行工首席運營官（COO）、首席執(zhí)行官（CEO）、首席財務(wù)官（CFO）、運營團零信任策略應(yīng)當(dāng)基于一種由內(nèi)而外的方法，企業(yè)應(yīng)該深思熟慮地詢問我們在對抗什么？到我們在保護什么？可以根據(jù)資產(chǎn)的價值來確認策略的優(yōu)先級，通常至少在一定程度上是根據(jù)他們交付的服務(wù)或他們支持的流程來決定的。這采用零信任框架可以全面減少惡意行為者遍歷網(wǎng)絡(luò)的能力來降低風(fēng)險，并通過高級隔離和授權(quán)來減少勒索軟件的影響。正確實施零信任控制可以顯著減少勒索軟件或其他漏洞利用的影響范圍。這在保護關(guān)鍵網(wǎng)絡(luò)設(shè)施免受以網(wǎng)絡(luò)為從運營的角度來看，由于其主動性和有效的事故最小化，它降低了與業(yè)務(wù)運營相關(guān)的風(fēng)險，并允許更精簡的維護團隊。并且，它還提供了強大的業(yè)務(wù)持5.3商業(yè)價值：業(yè)務(wù)敏捷快速響應(yīng)市場變化和商業(yè)機會的能力非常珍貴，并可對其成功產(chǎn)生巨大影改進的預(yù)防措施和減少的安全維護開銷，使企業(yè)隨時準備并專注于抓住商業(yè)機會。即使只是為安全團隊騰出時間以便更好地與業(yè)務(wù)協(xié)作，也是有價值首席執(zhí)行官（CEO）、首席流程官（CPO）、首席信息安全官（CISO）、首席技術(shù)官（CTO）、首席信息官（CIO）、首席運營官（COO），風(fēng)險、運營團隊零信任模型提供了適應(yīng)不斷變化的業(yè)務(wù)需求的靈活性。當(dāng)員工在改變組織角色時，或者當(dāng)新系統(tǒng)上線應(yīng)用市場機遇時，訪問策略可以自動調(diào)整。這使組零信任模型確保職員可以在任何地方、任何設(shè)備上安全地訪問公司資源。這通過提供對資源的安全訪問來促進遠程工作，允許職員在保持安全標準的同時輕松訪問完成工作所需的資源。通過對不同部門和團隊提供資源的安全訪問，允許員工更輕松地協(xié)助，并在不損害安全性的情況下共享資源，從而提高零信任通過提供統(tǒng)一的控制平面和策略模型來簡化企業(yè)安全架構(gòu)的操作，從而提高系統(tǒng)管理和用戶訪問的效率。這使得組織能夠在管理風(fēng)險的同時快速行動以追求商業(yè)機會。此外，設(shè)備狀況、惡意軟件狀態(tài)以及對安全策略的更改不僅如此，零信任通過提供可應(yīng)用于任何環(huán)境的全面安全框架，加快了像云計算和移動設(shè)備等新技術(shù)的采用。通過增強組織的安全態(tài)勢并最小化安全漏洞的風(fēng)險，零信任可以在保持嚴格的安全協(xié)議的同時更快、更順暢地部署新的5.4商業(yè)價值：促進合規(guī)合規(guī)要求可能是政府或行業(yè)監(jiān)管機構(gòu)強加給企業(yè)的，也可能是企業(yè)為了通過獲得各種認證來提高其級別而自愿采用的。在這兩種情況下，組織都要求證明它符合合規(guī)標準。這些標準通常規(guī)定了各種技術(shù)和流程控制。合規(guī)報告是記錄和證明這些控制是適當(dāng)且有效的行為。未能滿足合規(guī)要求可能會導(dǎo)致罰款，零信任系統(tǒng)需要對動態(tài)和上下文感知策略進行積極評估。因為這些策略是動態(tài)的，因此減少執(zhí)行策略所需的人工工作量。而且，由于它們可以綁定到業(yè)務(wù)流程，這些系統(tǒng)通常可以自動生成合規(guī)報告。零信任系統(tǒng)可以減少執(zhí)行控制和報告合規(guī)要求（創(chuàng)建審計文檔）的成本和工作量。它們還確保組織持續(xù)合董事會、合規(guī)團隊/首席合規(guī)官、治理風(fēng)險合規(guī)（GRC）團隊、首席財務(wù)官滿足和報告合規(guī)需求通常是復(fù)雜、耗時和昂貴的。零信任會在很多種方式中減少這種開銷。首先，由于零信任系統(tǒng)是基于上下文的自動化策略，這對于它們來說更容易實習(xí)并保持合規(guī)。這是因為策略，通常被描述成有意義的業(yè)務(wù)其次，零信任系統(tǒng)的控制集通常是自動文檔化的。當(dāng)范圍內(nèi)資產(chǎn)的策略清晰且一致時，所有流量都被加密，所有訪問都被記錄，證據(jù)收集的負擔(dān)和時間減少，從而減少審計本身帶來的組織負擔(dān)。換而言之，零信任架構(gòu)減少了開銷5.5商業(yè)價值：維護聲譽和品牌價值當(dāng)今世界，網(wǎng)絡(luò)威脅和數(shù)據(jù)泄露變得越來越普遍，安全已成為各種規(guī)模的企業(yè)的關(guān)鍵憂慮。數(shù)據(jù)泄漏不但會導(dǎo)致財務(wù)損失，還會導(dǎo)致聲譽受損，影響公司的品牌價值和股價。所以，企業(yè)需要采取措施來增加安全性，捍衛(wèi)自己的品零信任架構(gòu)將強化組織作為目標，加快威脅檢測和響應(yīng)，并減少成功攻擊的影響。這些好處將通過減少網(wǎng)絡(luò)攻擊的頻率和影響來保護其聲譽和品牌價企業(yè)品牌和聲譽的安全和保障涉及許多利益相關(guān)者，包括批準預(yù)算的高管、部署安全系統(tǒng)的IT領(lǐng)導(dǎo)、確保合規(guī)的法務(wù)人員以及監(jiān)視安源人員。零信任是公關(guān)消息傳遞和客戶對數(shù)據(jù)通過實施這些措施，企業(yè)可以保護其數(shù)據(jù)免受未授權(quán)訪問、盜竊和其他網(wǎng)絡(luò)威脅。企業(yè)還可以投資于能夠?qū)崟r監(jiān)測和響應(yīng)威脅的安全監(jiān)控工具。這些工總之，提高安全性和捍衛(wèi)品牌價值是企業(yè)的優(yōu)先任務(wù)。通過實施強大的零信任網(wǎng)絡(luò)安全架構(gòu)，對員工開展最佳實踐教育，投資安全監(jiān)控工具，并制定危5.6商業(yè)價值：減少IT風(fēng)險管理和處理IT風(fēng)險來減少安全事故的影響對于各個行業(yè)的組織來說是至關(guān)重要的，這些事故可能會嚴重影響業(yè)務(wù)運營、收入產(chǎn)生和商業(yè)聲譽。減少IT風(fēng)險有助于保護敏感信息、保持生產(chǎn)力，確保不間斷的服務(wù)交付，并滿足合規(guī)性組織需要一種動態(tài)和全面的方法來增強安全態(tài)勢并減少相關(guān)風(fēng)險。零信任架構(gòu)假定不具有固有的信任，并促進動態(tài)的、基于風(fēng)險的、強大的身份與訪問控制，基于上下文和自適應(yīng)的分段、持續(xù)監(jiān)控和主動安全措施。因此，零信任減少IT風(fēng)險對于包括第三方在內(nèi)的各類組織利益相關(guān)者至關(guān)重要。業(yè)務(wù)領(lǐng)導(dǎo)負責(zé)通過風(fēng)險減少措施來確保組織安全和減少IT風(fēng)險理和監(jiān)控風(fēng)險減少策略的IT和安全團隊。處于前端的終端用戶，以及他們的采用零信任架構(gòu)使組織通過實施嚴格的訪問控制來降低網(wǎng)絡(luò)安全事故的可能性，并確保用戶和設(shè)備在訪問資源前持續(xù)驗證和授權(quán)，從而最小化未授權(quán)訪問的風(fēng)險。它還可以更好地了解和響應(yīng)潛在異常活動，并創(chuàng)建和運行更具韌性的網(wǎng)絡(luò)。此外，劃分網(wǎng)絡(luò)和限制橫向移動可以最小化潛在事故的影響半徑，確這些降低風(fēng)險的措施加強了組織的整體網(wǎng)絡(luò)安全態(tài)勢，提供更強的韌性以5.7商業(yè)價值：安全地采用新技術(shù)安全地采用新技術(shù)是在不斷變化的環(huán)境和不斷增長的收入中保持競爭力的由于其靈活性，良好構(gòu)建的零信任架構(gòu)應(yīng)該能夠無需大量重建和相關(guān)成本即可集成新技術(shù)。零信任本質(zhì)上是關(guān)于使用更廣泛的上下文信息來做出訪問決采用基于零信任的架構(gòu)將導(dǎo)致任何從新云、物聯(lián)網(wǎng)到人工智能之類的新技術(shù)的采用更加安全，因為零信任專注于保護資源（包括基于云的資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)賬號、結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)等），而不僅僅是網(wǎng)絡(luò)段或IP地例如，新的基于云的服務(wù)可以很容易地合并到企業(yè)的零信任策略模型和實施點中，并綁定到他們的身份驗證系統(tǒng)中。這使企業(yè)可以在不犧牲安全性或生5.8商業(yè)價值：加速業(yè)務(wù)單位整合（并購）短期：由特定人員從“隨時隨地”訪問關(guān)鍵業(yè)務(wù)系統(tǒng)，將提高并購準備效中期：由于標準化、重新架構(gòu)和更改IP尋址方案，收購公司系統(tǒng)和網(wǎng)絡(luò)的集成通常是昂貴、緩慢和痛苦的。這增加了成本和時間，降低并購活動的價企業(yè)兼并和收購(M&A)通常對企業(yè)具有戰(zhàn)略重要性，涉及大量資金，并且通常具有很大的緊迫性。他們也經(jīng)常失敗——《哈佛商業(yè)評論》指出，70%到整合是一個多維度的問題，因為對數(shù)據(jù)和計算機系統(tǒng)的訪問幾乎是當(dāng)今業(yè)務(wù)每一個方面的基礎(chǔ)，而且訪問系統(tǒng)可能以非常重要的方式幫助或阻礙被收購首先，在短期內(nèi)，零信任系統(tǒng)將使正確的人（或系統(tǒng)）能夠精確訪問正確地數(shù)據(jù)和操作系統(tǒng)。這既應(yīng)用于收購前的盡職調(diào)查，也應(yīng)用于即時的收購后整合任務(wù)。關(guān)鍵人員的訪問至關(guān)重要且時間敏感，企業(yè)必須在不損害安全性的情其次，在收購?fù)瓿珊蟮闹衅冢阈湃蜗到y(tǒng)可以快速部署一致和標準化的訪問方法、身份、驗證和策略實施。零信任平臺通常允許不對被收購公司進行完5.9商業(yè)價值：更好地利用現(xiàn)有投資減少運營成本和現(xiàn)有投資間更好的集成，提供更好的可見性和對威脅的響通過將控制簡化到更少的平臺，并最大程度地提高技術(shù)之間的集成，零信任可以創(chuàng)建一個簡化的集成技術(shù)堆棧，具有更低的運營成本和更高的安全效首席信息安全官（CISO）、首席信息官（CIO）、采購、首席財務(wù)官由于零信任結(jié)構(gòu)利用了常用部署的安全基礎(chǔ)設(shè)施的最佳實踐，因此組織不必為了滿足需求而購買新技術(shù)，只需要當(dāng)前使用的現(xiàn)有技術(shù)能滿足控制的需例如，通?？梢允褂矛F(xiàn)有的身份和訪問平臺作為起點，并使用動態(tài)觸發(fā)的多因素驗證（MFA）和其他上下文分層，如設(shè)備運行狀況和位置，來提供更粒度的訪問控制。從那時開始，網(wǎng)絡(luò)基礎(chǔ)設(shè)施可能會減少，但是對于擁有傳統(tǒng)內(nèi)在大多數(shù)組織中，很可能已經(jīng)有一些控制和活動非常適合零信任策略，并且應(yīng)該擴展以覆蓋企業(yè)內(nèi)更廣泛的范圍。通過在整體零信任策略模型中增加現(xiàn)有平臺的利用率，組織可以開始逐步淘汰一些重點產(chǎn)品，以支持整合，從而提5.10商業(yè)價值：提高可視性和分析性改進并增強數(shù)據(jù)收集，并將數(shù)據(jù)轉(zhuǎn)換為信息和知識，使企業(yè)能夠做出與風(fēng)收集和報告身份和上下文增強數(shù)據(jù)提供了跨風(fēng)險領(lǐng)域的可見性，以及特定變更對整個環(huán)境的總體影響。這種可視性還允許更好地識別資源需求，以及決首席戰(zhàn)略官（CSO）、首席信息官（CIO）、首席運營官（COO）、首席財IT、運營和安全團隊經(jīng)常被困擾于不完整、過時的資產(chǎn)庫存和其使用信息。零信任，因為它以默認拒絕的方法運行，需要標識和/或身份驗證才能使用。作為零信任體系結(jié)構(gòu)的副產(chǎn)品，這導(dǎo)致了對基礎(chǔ)設(shè)施和資產(chǎn)的更清晰、更這增加了對系統(tǒng)的可視性和更準確的庫存，允許更好、更準確的訪問策略改進的安全事件響應(yīng)。例如，在一個激活的安全事故中，準確識別所有受影響的環(huán)境和過程允許更及時、更完整的響應(yīng)。更好的可視性轉(zhuǎn)變成根據(jù)業(yè)務(wù)需要修復(fù)的系統(tǒng)的優(yōu)先級，還可以識別和監(jiān)控響應(yīng)的完整性。在響應(yīng)期間，安全和準確和最新的庫存信息以及實際使用情況的可視性還有助于根據(jù)流程的變化對當(dāng)前和計劃的許可成本進行適當(dāng)?shù)恼{(diào)整。物理設(shè)備庫存有助于維護成本，5.11商業(yè)價值：改進用戶體驗用戶生產(chǎn)力是企業(yè)效率、盈利能力和競爭力的核心。消除挫折和障礙也是IT是提高企業(yè)用戶生產(chǎn)力的關(guān)鍵工具，但它往往是人們認為或?qū)嶋H的分歧來源。零信任可以消除各自為政和過時的訪問系統(tǒng)，支持新技術(shù)的安全采用，減所有用戶、首席財務(wù)官（CFO）、首席運營官（COO）、人力資源部零信任通過提高生產(chǎn)力、減少網(wǎng)絡(luò)延遲、提高靈活性和提高員工滿意度來改善用戶體驗。它使用戶能夠隨時隨地能夠安全地訪問資源，提高生產(chǎn)力，平衡工作與生活。通過更貼近用戶和資源應(yīng)用安全控制，可以加快訪問流程，確保無縫和高效的用戶體驗。零信任的自適應(yīng)特性使得組織能夠快速響應(yīng)不斷變化的業(yè)務(wù)需求和威脅，提高靈活性和靈敏度。這反過來又有助于提高員工滿意零信任對細粒度訪問控制的關(guān)注提高了“需知”策略決策的準確性。它確盡管實施零信任通常需要對現(xiàn)有流程進行更改，但它提供了一個解決技術(shù)負債和現(xiàn)代化安全基礎(chǔ)設(shè)施的機會。提高安全性，減少風(fēng)險，增強用戶體驗的長期好處勝過了暫時的不便，這使得零信任成為尋求最佳化其組織的安全態(tài)勢5.12商業(yè)價值：支持戰(zhàn)略性業(yè)務(wù)計劃被定義為“戰(zhàn)略性”的業(yè)務(wù)計劃對于企業(yè)獲得競爭優(yōu)勢、推動增長和盈利通過建立穩(wěn)固的安全基礎(chǔ)，零信任使組織能夠接受創(chuàng)新，滿足監(jiān)管要求，至關(guān)重要的作用。首先，在數(shù)字化轉(zhuǎn)型的背景下，