2024零信任商業(yè)價值

零信任商業(yè)價值PAGE10PAGE10目錄序言 6摘要 9面向人群 9目標(biāo) 9什么是零信任？ 10對零信任的理解誤區(qū) 12商業(yè)價值綜述綱領(lǐng) 13商業(yè)價值 14商業(yè)價值的含義？ 144.1.2商業(yè)價值與風(fēng)險 15信息安全的商業(yè)價值 16為零信任投資做商業(yè)案例 18零信任的商業(yè)價值 19章節(jié)格式 20商業(yè)價值：成本節(jié)約與優(yōu)化 21商業(yè)價值：運(yùn)營韌性 22商業(yè)價值：業(yè)務(wù)敏捷 23商業(yè)價值：促進(jìn)合規(guī) 24商業(yè)價值：維護(hù)聲譽(yù)和品牌價值 25商業(yè)價值：減少IT風(fēng)險 26商業(yè)價值：安全地采用新技術(shù) 27商業(yè)價值：加速業(yè)務(wù)單位整合（并購） 27商業(yè)價值：更好地利用現(xiàn)有投資 28商業(yè)價值：提高可視性和分析性 29商業(yè)價值：改進(jìn)用戶體驗 30商業(yè)價值：支持戰(zhàn)略性業(yè)務(wù)計劃 31商業(yè)價值：重塑業(yè)務(wù)流程 32商業(yè)價值：更好地滿足潛在客戶的安全需求 33傳達(dá)商業(yè)價值 34了解你的受眾 35了解你組織結(jié)構(gòu) 35建立一個團(tuán)隊并形成聯(lián)盟 35溝通策略 35為過程制定計劃 367.結(jié)論 36摘要零信任是一個大規(guī)模的產(chǎn)業(yè)趨勢，被全世界許多組織采用以及宣傳；它帶來了更好的安全性能同時減少支出，并提高商業(yè)效率以及靈活性。然而，“零信任”作為一個行業(yè)專有名詞存在被錯誤理解或者難以理解。業(yè)務(wù)領(lǐng)導(dǎo)與非安全專業(yè)人才，例如關(guān)鍵決策人、預(yù)算持有人、以及監(jiān)事等，他們在各個組織零信任發(fā)展的道路上影響著第一步的成敗。這是因為，采用零信任作為一種組織戰(zhàn)略，從根本上講，需要在整個企業(yè)中進(jìn)行支撐與改變，以及投入大量的時間、精力和金錢。所以，安全人員需要傳達(dá)零信任的理念給非技術(shù)以及非專業(yè)人員，從下到上直到董事會的成員。我們相信，信息安全產(chǎn)業(yè)仍未賦能從業(yè)人員可以簡潔直接地傳達(dá)零信任戰(zhàn)略的商業(yè)價值。這篇CSA國際云安全聯(lián)盟的指南可以彌補(bǔ)這一空白。面向人群該文檔主要面向人群是信息安全專家與從業(yè)者，他們希望向各個組織里的業(yè)務(wù)領(lǐng)導(dǎo)與重要參與者展示零信任帶來的價值與商業(yè)影響。該文檔還面向的人群是各個組織里的非技術(shù)、非安全方面的從業(yè)者。這份白皮書包含部分技術(shù)概念，但是也能讓非專業(yè)人群理解。目標(biāo)該文檔為信息安全專家提供信息與思路，以此來有效溝通與展示為什么他們的組織應(yīng)該投資零信任安全戰(zhàn)略。這些溝通是為了向內(nèi)部參與者展示：例如非安全方面IT人員、企業(yè)規(guī)劃人員、財務(wù)與預(yù)算團(tuán)隊、業(yè)務(wù)線經(jīng)理、應(yīng)用程序所有者、企業(yè)首席高管（CEO:首席執(zhí)行官，COO:首席運(yùn)營官，CFO:首席財務(wù)官）以及董事會成員。這份白皮書使得安全專家能夠向組織里的業(yè)務(wù)領(lǐng)導(dǎo)與重要參與者展示采用零信任帶來的價值與商業(yè)影響1。其次，說服組織主動投資零信任。什么是零信任？零信任是一個基于若干核心原則的網(wǎng)絡(luò)安全戰(zhàn)略，以簡單的、具有可觀的積極影響方式作用于組織的架構(gòu)、方式、運(yùn)營。根據(jù)美國國家安全電信咨詢委員會《零信任和可信身份管理報告》中的表述：“零信任是一個網(wǎng)絡(luò)安全戰(zhàn)略，假定沒有任何用戶和資產(chǎn)被隱式信任。它默認(rèn)破壞已經(jīng)發(fā)生或者即將發(fā)生，所以，企業(yè)范圍內(nèi)的用戶不應(yīng)該通過簡單的認(rèn)證就允許訪問敏感信息。反而每個用戶、設(shè)備、應(yīng)用以及交易必須不間斷地驗證身份?！备鶕?jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的《零信任建設(shè)》（SP800-207）文檔定義:“零信任（ZT）是一個術(shù)語，它是一個不斷進(jìn)化的網(wǎng)絡(luò)安全范式的集合，從基于網(wǎng)絡(luò)邊界的靜態(tài)防御，到專注于用戶、資產(chǎn)，以及資源。零信任架構(gòu)（ZTA）使用零信任理念來規(guī)劃產(chǎn)業(yè)和企業(yè)的基礎(chǔ)設(shè)施和流程。零信任假設(shè)沒有任何隱式信任賦予物理或者網(wǎng)絡(luò)位置（局域網(wǎng)或者互聯(lián)網(wǎng)）的資產(chǎn)或者用戶賬戶，或者基于資產(chǎn)擁有權(quán)（企業(yè)所有或者個人所有）來賦予信任。驗證和授權(quán)（訪問主體和設(shè)備）是獨(dú)立的功能，作用在與企業(yè)資源的對話建立之前?！盢IST文檔還提出，零信任“不是單個架構(gòu)而是一系列關(guān)于流程、系統(tǒng)設(shè)計和運(yùn)營的指引原則，它可用作改進(jìn)任意分類或者敏感等級的安全態(tài)勢?！逼渲羞€包括了7個零信任的核心原則，列出以供參考：可觀測狀態(tài)總體來說，零信任很大的程度不同于傳統(tǒng)的、基于信任的“城堡護(hù)城河”物理網(wǎng)絡(luò)邊界安全架構(gòu)，因為傳統(tǒng)架構(gòu)在云計算、遠(yuǎn)程辦公、威脅加劇的時代下變得不再高效。老練的攻擊者越來越精于利用在現(xiàn)代高級的分布式企業(yè)網(wǎng)絡(luò)中暴露出的技術(shù)或者人力薄弱點(diǎn)，時常嚴(yán)重地影響網(wǎng)絡(luò)連接穩(wěn)定性。成功的網(wǎng)絡(luò)攻擊基本上利用了各種方式的信任。這使得“信任”，無論是隱性的還是顯性的，這個危險的薄弱點(diǎn)必須被排除。在零信任中，所有的網(wǎng)絡(luò)數(shù)據(jù)包都是不可信的，同其他在系統(tǒng)中經(jīng)過的數(shù)據(jù)包分別單獨(dú)對待。信任等級實質(zhì)上為零，所以被稱之為零信任。值得注意的是，這個方法關(guān)注的是從數(shù)字系統(tǒng)中移除信任，而不是人群、關(guān)系或者文化。零信任是一個全面的網(wǎng)絡(luò)安全戰(zhàn)略，包含云/多云，內(nèi)部和外部伙伴/參與者用戶（企業(yè)識別或者自帶設(shè)備）端點(diǎn)，私有部署以及混合系統(tǒng)，包括IT（信息技術(shù)），OT（運(yùn)營技術(shù)）和IoT（物聯(lián)網(wǎng)）。零信任不是產(chǎn)品（盡管基于零信任的安全基礎(chǔ)設(shè)施可以利用各種不同的產(chǎn)品來實施），也不需要組織剔除更換原有的安全基礎(chǔ)設(shè)施。零信任驅(qū)動著新一代的信息安全的架構(gòu)方法，使得資源與控制的對齊來保證最低權(quán)限的訪問，保證每個網(wǎng)絡(luò)數(shù)據(jù)包視作不可信，讓系統(tǒng)強(qiáng)制在流程的每一層執(zhí)行“默認(rèn)拒絕”模型。零信任方法是一個慎重和謹(jǐn)慎的戰(zhàn)略，指引著組織對于基礎(chǔ)技術(shù)的選擇和部署，包括身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)盡可能地安全。契合零信任的慎重決定反映了對于日漸增長的危險的認(rèn)識，以及對更穩(wěn)固和適應(yīng)性強(qiáng)的安全態(tài)勢的需求，利用基于風(fēng)險的方法來授權(quán)訪問。零信任的采用包括動態(tài)環(huán)境、嚴(yán)格的訪問控制、持續(xù)的驗證、行為監(jiān)視以及嚴(yán)格的安全規(guī)章強(qiáng)制執(zhí)行。通過慎重地采用零信任方法，組織志在通過以一個更警惕和懷疑的態(tài)度面對網(wǎng)絡(luò)流量和人工與非人工活動來最小化數(shù)據(jù)泄露風(fēng)險和非授權(quán)訪問風(fēng)險。零信任現(xiàn)處在被企業(yè)大量應(yīng)用的早期階段，而且是美國聯(lián)邦政府新的網(wǎng)絡(luò)安全策略的必要部分。同樣地，我們期望持續(xù)關(guān)注如何成功在組織中采用零信任的指引。對零信任的理解誤區(qū)零信任安全是一個戰(zhàn)略，不是即買即用的，或者開發(fā)即可實施的。作為一個戰(zhàn)略，它將影響你的思維、決策、優(yōu)先級和對IT與安全工程的考慮。采用這個戰(zhàn)略意味著您的組織架構(gòu)將會升級和進(jìn)化到零信任架構(gòu)。應(yīng)用得當(dāng)?shù)脑?，零信任指引著您對于技術(shù)架構(gòu)的選擇和部署，包括身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)，以及交叉領(lǐng)域（例如可視化與分析、自動化與編排，還有治理）。零信任不是防止數(shù)據(jù)泄露的一招制勝絕招。盡管大多數(shù)泄露僅包含數(shù)以千計的數(shù)據(jù)記錄，但百萬記錄級別數(shù)據(jù)的泄露會使得代價成指數(shù)級上升。警惕性和嚴(yán)謹(jǐn)?shù)闹卫硎怯行p少以下風(fēng)險因素的重要方法：以上這些是數(shù)據(jù)泄漏的主要來源，并是零信任實施時需要處理的。零信任不僅僅是技術(shù)。市面上有大量的安全技術(shù)，在明確的環(huán)境中對威脅對癥下藥。相比技術(shù)，零信任更關(guān)注的是人和流程，它需要的是齊心協(xié)力，把這些要素結(jié)合起來，通過自動化策略達(dá)成更全面的安全。零信任并不難，但它要求安全和技術(shù)團(tuán)隊與業(yè)務(wù)方（這個文檔的重點(diǎn)）建立合作關(guān)系。這帶來了組織內(nèi)的文化轉(zhuǎn)變，可能會一時難以適應(yīng)，但當(dāng)這個關(guān)系建立完成時，零信任會變得簡單許多以及更加高效。商業(yè)價值綜述綱領(lǐng)商業(yè)價值綱領(lǐng)由CSA國際云安全聯(lián)盟零信任工作組編撰，其中包括幾個可以幫助理解和傳達(dá)零信任商業(yè)價值的方法。以始為終：這個方針鼓勵人們在零信任過程的開始建立關(guān)于組織期望方向與明確的展望目標(biāo)。與商業(yè)價值相關(guān)的期望結(jié)果包括減少合規(guī)成本、事故的經(jīng)濟(jì)影響、IT和流程債務(wù)的復(fù)雜性、殘余風(fēng)險，以及總體擁有成本（TCO）。泄露總會發(fā)生：100%安全這種不現(xiàn)實的目標(biāo)，轉(zhuǎn)而考慮更有安全韌性這一更容易達(dá)成的目標(biāo)。這個轉(zhuǎn)變帶來三個好處：風(fēng)險控制：這是零信任中的關(guān)鍵元素。理解組織的風(fēng)險偏好可以提供一個容許風(fēng)險的閾值。零信任的目標(biāo)幫助機(jī)構(gòu)將內(nèi)在風(fēng)險減少至可接受范圍，通過實施控制減少可能性、影響，或二者兼而有之。這可使組織變得更堅韌以及更靈活。采用基于風(fēng)險的優(yōu)先級將幫助組織理解和識別他們需要解決的差距。組織可以做個穩(wěn)妥的決策來選擇出發(fā)點(diǎn)–通常從小問題出發(fā)是情理之中，通過快速達(dá)成短期目標(biāo)來改善安全態(tài)勢并建立零信任倡議的推動力。當(dāng)選擇一個較小且低風(fēng)險的保護(hù)面作為試點(diǎn)時，獲得和維護(hù)領(lǐng)導(dǎo)層的接納會更容易，這樣就可以利用其指標(biāo)來突出安全范式的變化并展示商業(yè)價值。傳達(dá)零信任的商業(yè)價值將有效鼓勵領(lǐng)導(dǎo)層來發(fā)布正確的指令，為成功的零信任過程樹立根基。商業(yè)價值商業(yè)價值的含義？這一章節(jié)是為了向讀者介紹普遍的核心商業(yè)概念和術(shù)語。提供了基礎(chǔ)詞匯和概念模型使得讀者提出更有價值的問題，理解商業(yè)驅(qū)動因素，構(gòu)筑一個具有商業(yè)意義的零信任應(yīng)用案例。這一章節(jié)并不是全面的商業(yè)或者金融管理介紹，因為這方面在網(wǎng)上已經(jīng)有許多可靠的相關(guān)資源了。除了營利性企業(yè)之外，還有許多不同類型的組織，包括非營利性組織、政府機(jī)構(gòu)，以及監(jiān)管機(jī)構(gòu)，它們并不是傳統(tǒng)的企業(yè)。比如一個為了監(jiān)管銀行產(chǎn)業(yè)的聯(lián)邦政府機(jī)構(gòu)就不是一個“企業(yè)”，但它仍可以從零信任中獲益。像這樣的組織，它們的商業(yè)價值就應(yīng)該是有助于實現(xiàn)其組織的任務(wù)目標(biāo)。企業(yè)運(yùn)作在財務(wù)或者績效指標(biāo)上，已經(jīng)發(fā)展出一套全面的標(biāo)準(zhǔn)來衡量這些指標(biāo)。如果你的組織是一家公開貿(mào)易的公司，就需要公開報告財務(wù)狀況。這些報告對你來說是必讀的，因為它們將你與組織的指標(biāo)和績效聯(lián)系起來，包括面臨的戰(zhàn)略挑戰(zhàn)和機(jī)遇。盡管并非所有以下的指標(biāo)都適用于每個組織，這個列表涉及了幾個你應(yīng)該熟悉的指標(biāo)。為了了解組織的具體情況，最明智的可能是在做了一些基礎(chǔ)調(diào)查后，找財務(wù)部門一位友好的同事，問下他們哪些財務(wù)術(shù)語和指標(biāo)是對你的組織最重要的。21515）不同的角色有著不同的興趣傾向。例如股東傾向于對健康的股價和/或可靠的股息感興趣。另一方面，其他利益相關(guān)方對別的指標(biāo)更為在乎，這根據(jù)他們的角色而定。4.1.2商業(yè)價值與風(fēng)險企業(yè)很大程度上在乎風(fēng)險。風(fēng)險控制（RM）原則提出四種風(fēng)險處理方式：66接受、規(guī)避、緩解和轉(zhuǎn)移3。近些年來的實踐表明了無論接受還是規(guī)避風(fēng)險都不充分。我們知道風(fēng)險轉(zhuǎn)移，常見于保險，并不防止事故，而且很多時候?qū)嶋H的成本太大。風(fēng)險緩解仍然是最高效的投資。緩解需要一系列的管控（技術(shù)、人員、流程）來減少風(fēng)險直至可接受范圍。通常來說，管控會花費(fèi)金錢，消耗資源，并放慢事務(wù)的進(jìn)度。由于零信任是企業(yè)的整體戰(zhàn)略，因此一個平臺和策略模型就可以為隱私、安全、合規(guī)性和第三方風(fēng)險管理（TPRM）等其他領(lǐng)域奠定基礎(chǔ)。零信任架構(gòu)將在基礎(chǔ)設(shè)施技術(shù)和層級之間執(zhí)行多重控制。內(nèi)部威脅的風(fēng)險對于組織來說是最難管理的，因為它涉及有效訪問權(quán)限的合法用戶（例如員工、前員工、承包商或者商業(yè)伙伴），他們擁有著有關(guān)組織安全條例、數(shù)據(jù)和計算機(jī)系統(tǒng)的內(nèi)部信息。威脅可能涉及欺詐、盜竊資產(chǎn)、盜竊知識產(chǎn)權(quán)，甚至是破壞。其通常來自內(nèi)部人員的事故涉及有效訪問的濫用。零信任通過執(zhí)行最小權(quán)限的原則，在授權(quán)對資產(chǎn)的訪問之前，要求正確的身份證明（認(rèn)證）和有效訪問權(quán)（授權(quán)），以此來減少內(nèi)部威脅的可能性。它還通過約束橫向移動來限制其影響范圍。第三方風(fēng)險管理，有時被稱為供應(yīng)商風(fēng)險管理或者供應(yīng)鏈管理，是評估和減輕供應(yīng)商（例如供應(yīng)商，商業(yè)伙伴和供應(yīng)鏈成員）引入的風(fēng)險的實踐。這一過程通常從關(guān)系剛形成時就開始，并持續(xù)維持，包括至關(guān)系結(jié)束時。零信任戰(zhàn)略通過提供更好的可見性和控制來減少任何第三方安全事件的影響，并賦予供應(yīng)商最小的訪問權(quán)限來降低這些風(fēng)險。信息安全的商業(yè)價值簡單來說，信息安全是指對公司的數(shù)字資產(chǎn)、系統(tǒng)和數(shù)據(jù)的保護(hù)和保障。通過實施有效的安全措施，企業(yè)可以最小化未授權(quán)訪問、數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險，使其正常運(yùn)營，維持客戶和合作伙伴的信任，避免因安全事件造成的潛在財務(wù)損失或者商譽(yù)減值。隨著商業(yè)和數(shù)字經(jīng)濟(jì)的普及，信息安全成為組織內(nèi)部和董事會的首要關(guān)注1717點(diǎn)。世界經(jīng)濟(jì)論壇（WEF）60%的國內(nèi)生產(chǎn)總值（GDP）是數(shù)字化的4，同時美國國家經(jīng)濟(jì)研究局（NBER）認(rèn)為企業(yè)估值主要由無形資產(chǎn)驅(qū)動，其中包括數(shù)據(jù)和知識產(chǎn)權(quán)（IP）5。這些資產(chǎn)逐漸成為攻擊和破壞的目標(biāo)，因此必須受到妥善保護(hù)。信息安全基于三個主要概念：機(jī)密性（Confidentiality）（Integrity）和可用性（Availability），它們共同構(gòu)成了CIA三要素。安全策略，實施和安全風(fēng)險的描述都基于這三個參數(shù)：如果實施得當(dāng)?shù)脑?，信息安全?yīng)該也可以支持企業(yè)的使命。安全性通過保護(hù)企業(yè)認(rèn)為貴重的資產(chǎn)來減少對整個企業(yè)的風(fēng)險，以此來支撐企業(yè)。信息安全的成功實施有著額外好處，可以促進(jìn)對國際和國內(nèi)標(biāo)準(zhǔn)和法規(guī)的合規(guī)。遵從許多這些標(biāo)準(zhǔn)和法規(guī)（例如HIPAA、GDPR、PCIDSS和ISO27000）包括關(guān)于數(shù)據(jù)保護(hù)，正確的風(fēng)險管理，限制對受保護(hù)數(shù)據(jù)和流程的訪問，以及如何保護(hù)這些信息的定期培訓(xùn)。所有這些東西都是正確的信息安全計劃的一部分。從風(fēng)險管理（RM）和合規(guī)性的角度來看，信息技術(shù)（IT）和運(yùn)營技術(shù)（OT）系統(tǒng)代表了相當(dāng)大的風(fēng)險來源，必須通過實施技術(shù)或者流程控制來降低風(fēng)險。這些控制可以是自定義，或者像遵從法規(guī)一樣通過外力來強(qiáng)加給它們。組織通常必須通過合規(guī)性報告或者審核流程來證明他們的控制是如何按照預(yù)期執(zhí)行的。零信任通過確?，F(xiàn)有控制按預(yù)期進(jìn)行來提高安全性，并為組織提供進(jìn)一步加強(qiáng)這些控制的持續(xù)改進(jìn)規(guī)劃。在沒有固有信任的環(huán)境中，安全團(tuán)隊通過使用PAGE21PAGE21風(fēng)險框架來監(jiān)視、識別、保護(hù)、檢測、響應(yīng)，并從感知到的和現(xiàn)有的威脅中修復(fù)。這有助于分清輕重緩急，因為任何組織都沒有無限的資源和時間。零信任為你所有的網(wǎng)絡(luò)安全、隱私和運(yùn)營韌性（OR）的活動提供基礎(chǔ)。零信任不僅提高了控制效率。作為一種首要的戰(zhàn)略和架構(gòu)，零信任打破了組織內(nèi)部的壁壘，將IT、安全、應(yīng)用、架構(gòu)和商業(yè)整合在一個統(tǒng)一的構(gòu)想下，以保障資產(chǎn)符合商業(yè)目標(biāo)。為零信任投資做商業(yè)案例一般來說，商業(yè)案例的研究輔助組織的利益相關(guān)方做出關(guān)于項目提案的可行性決定，并且它的使用被認(rèn)為是私營和公共組織的標(biāo)準(zhǔn)實踐。商業(yè)案例通常是一個文檔化、結(jié)構(gòu)化的提案，準(zhǔn)備它是為了幫助組織決策者對提案的投資或者項目做出選擇決定。一個商業(yè)案例從商業(yè)過程表現(xiàn)、需求和/或問題、期望收益來描述投資或者項目的理由與解釋。它確定了要滿足的高級需求，并提供了對提案的替代解決方案的分析（包括拒絕或者推進(jìn)每個選項的理由）、假設(shè)、約束、風(fēng)險調(diào)整后的成本效益分析、初步收購策略。它還可能包括財務(wù)指標(biāo)，例如投資回報率（ROI）、預(yù)計總擁有成本（TCO）或凈現(xiàn)值（NPV）等。ROINPV的可的因素，或者作為推動商業(yè)價值的促成者。不同的組織有不同級別的形式、過程和架構(gòu)來進(jìn)行決策，并且對商業(yè)案例的內(nèi)容有著不同的期望。實踐者應(yīng)花時間去學(xué)習(xí)在組織內(nèi)部技術(shù)、戰(zhàn)略和IT投資決策是如何制定的，并遵循應(yīng)當(dāng)?shù)牧鞒毯图軜?gòu)。商業(yè)案例一個不變的方面是它必須體現(xiàn)商業(yè)價值，這是這份文檔的主要關(guān)注點(diǎn)。接下來的章節(jié)提供了零信任倡議實現(xiàn)商業(yè)價值的14種不同方式。當(dāng)你確定了適用的領(lǐng)域，你可以適當(dāng)?shù)亓炕鼈?，并結(jié)合到你的組織需求的商業(yè)案例結(jié)構(gòu)中。零信任的商業(yè)價值如前文所述，零信任是一個增強(qiáng)的安全和風(fēng)險管理方式，它假定身份（真人、非真人/機(jī)器），設(shè)備（個人電腦、移動設(shè)備、物聯(lián)網(wǎng)）或者工作負(fù)載（服務(wù)器、計算實例、容器或功能）在默認(rèn)情況下是不可信的。所有的訪問依賴于身份驗證以及基于上下文信息的訪問策略的評估與授權(quán)。零信任需要持續(xù)投入時間、資源和預(yù)算，但作為回報，它帶來了安全、技術(shù)和商業(yè)方面的好處。總的來說，零信任通過提供以下商業(yè)價值的收益：零信任不同于之前的安全方法，它們承諾了部分或全部這些好處。具體而言，零信任方法本質(zhì)上是整體的，必須將傳統(tǒng)的分離式系統(tǒng)與IT安全基礎(chǔ)設(shè)施層級強(qiáng)制實施動態(tài)控制。章節(jié)格式5.15.1為什么對企業(yè)重要：零信任如何幫助：對誰重要：關(guān)注成本降低和風(fēng)險管理的高管(CFO、CISO、CIO)、IT和安全團(tuán)隊以及需要安全訪問他們?nèi)粘９ぷ髻Y源的員工為什么企業(yè)關(guān)心這個特定的話題?零信任安全措施通過什么方式達(dá)成價值?企業(yè)里的哪些角色會對這個話零信任允許組織通過標(biāo)準(zhǔn)化和簡化用戶與設(shè)備訪問來整合不同的冗余工具和技術(shù)例如用個訪問具替換程訪問具(例VPN)和地訪問具(例如 ?NAC)。這意味著企業(yè)可以減少購買、部署和維護(hù)冗余的基于邊界的安全解決方案么做、為什么?商業(yè)價值：成本節(jié)約與優(yōu)化為什么對企業(yè)重要：減少安全措施的總擁有成本（TCO），更高效地分配業(yè)務(wù)單位的資源，而不是各自為政（資本支出、運(yùn)營支出、人員）。零信任如何幫助：減少對傳統(tǒng)安全系統(tǒng)的需求，降低安全漏洞的風(fēng)險，減少恢復(fù)成本，簡化安全體系結(jié)構(gòu)，自動化提高生產(chǎn)力。對誰重要：關(guān)注成本降低和風(fēng)險管理的高管（CFO、CISO、CIO）、IT和安全團(tuán)隊以及需要安全訪問他們?nèi)粘９ぷ髻Y源的員工。零信任允許組織通過標(biāo)準(zhǔn)化和簡化用戶與設(shè)備訪問來整合不同的冗余工具和技術(shù)，例如用單個訪問工具替換遠(yuǎn)程訪問工具（例如VPN）和本地訪問工具（例如NAC）。這意味著企業(yè)可以減少購買、部署和維護(hù)冗余的基于邊界的安全解決方案相關(guān)的成本。由于它們更新，零信任平臺傾向于使用普遍接受的最佳實踐、現(xiàn)有標(biāo)準(zhǔn)和廣泛采用的協(xié)議，這提高了系統(tǒng)的互操作性，還可能消除對定制集成的需求并減少部署工具的數(shù)量。零信任可以降低連接和寬帶成本，特別是在傳統(tǒng)企業(yè)的IT基礎(chǔ)設(shè)施中。組織可以減少或消除對MPLS和SD-WAN等昂貴的專用鏈路的需求，并依賴互聯(lián)網(wǎng)作為其公司網(wǎng)絡(luò)。這種方法消除了對邊界的依賴，允許每個用戶到每個資源的點(diǎn)對點(diǎn)訪問，從而大幅度節(jié)省了站點(diǎn)間網(wǎng)絡(luò)或者通過數(shù)據(jù)中心回程一切的相關(guān)成本。零信任可以改進(jìn)流程，發(fā)現(xiàn)更多節(jié)約成本的機(jī)會。通過自動執(zhí)行訪問請求和審批來提高安全流程的效率，減少人工干預(yù)，從而減少管理開銷并提高生產(chǎn)力。此外，零信任簡化了安全架構(gòu)，降低了管理的復(fù)雜性和開銷，以及安全漏洞的風(fēng)險。通過降低安全漏洞的可能性和影響，零信任降低數(shù)據(jù)泄露的總體和單個事件的成本。它可以通過限制泄露的程序直接降低成本，從而最大限度減少損失和恢復(fù)成本。它還可以通過減少數(shù)據(jù)泄露的發(fā)生，間接降低成本。此外，零信任可以通過更嚴(yán)格和更有效的安全控制來幫助企業(yè)減少保險開銷。零信任還可能更快地準(zhǔn)備和保護(hù)新的基礎(chǔ)設(shè)施，因為企業(yè)可以減少在新設(shè)備上建立用戶和執(zhí)行安全策略所需的時間和精力。商業(yè)價值：運(yùn)營韌性為什么對企業(yè)重要：運(yùn)營韌性是在任何危險造成的中斷下依然可以開展業(yè)務(wù)包括關(guān)鍵業(yè)務(wù)和核心業(yè)務(wù)功能等運(yùn)營的能力。企業(yè)運(yùn)營通常完全依靠IT技術(shù)和系統(tǒng)，而脆弱或不可靠的IT基礎(chǔ)架構(gòu)將會對企業(yè)產(chǎn)生重大的破壞性影響。企業(yè)運(yùn)營的基礎(chǔ)架構(gòu)系統(tǒng)的韌性必然是關(guān)鍵重點(diǎn)。零信任如何幫助：默認(rèn)情況下，零信任架構(gòu)中的系統(tǒng)和設(shè)備彼此隔離。只有通過驗證和授權(quán)的身份才能通信，并且僅限于授權(quán)的協(xié)議。零信任的細(xì)粒度隔離降低了攻擊者執(zhí)行偵察或橫向移動的能力。攻擊的影響范圍越小，整個系統(tǒng)的韌性更強(qiáng)。零信任平臺還通過快速適應(yīng)和允許訪問變化的環(huán)境（例如DR站點(diǎn)），從而改進(jìn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的準(zhǔn)備和執(zhí)行工作。對誰重要：首席運(yùn)營官（COO）、首席執(zhí)行官（CEO）、首席財務(wù)官（CFO）、運(yùn)營團(tuán)隊、業(yè)務(wù)領(lǐng)導(dǎo)零信任策略應(yīng)當(dāng)基于一種由內(nèi)而外的方法，企業(yè)應(yīng)該深思熟慮地詢問我們在對抗什么？我們在保護(hù)什么？可以根據(jù)資產(chǎn)的價值來確認(rèn)策略的優(yōu)先級，通常至少在一定程度上是根據(jù)他們交付的服務(wù)或他們支持的流程來決定的。這樣可以更好地與業(yè)務(wù)保持一致，還可以增加業(yè)務(wù)的韌性。采用零信任框架可以全面減少惡意行為者遍歷網(wǎng)絡(luò)的能力來降低風(fēng)險，并通過高級隔離和授權(quán)來減少勒索軟件的影響。正確實施零信任控制可以顯著減少勒索軟件或其他漏洞利用的影響范圍。這在保護(hù)關(guān)鍵網(wǎng)絡(luò)設(shè)施免受以網(wǎng)絡(luò)為中心的攻擊風(fēng)險中尤為珍貴，這些風(fēng)險通常來自受害用戶和VPN連接。從運(yùn)營的角度來看，由于其主動性和有效的事故最小化，它降低了與業(yè)務(wù)運(yùn)營相關(guān)的風(fēng)險，并允許更精簡的維護(hù)團(tuán)隊。并且，它還提供了強(qiáng)大的業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)流程，實現(xiàn)運(yùn)營韌性。商業(yè)價值：業(yè)務(wù)敏捷為什么對企業(yè)重要：快速響應(yīng)市場變化和商業(yè)機(jī)會的能力非常珍貴，并可對其成功產(chǎn)生巨大影響。能使業(yè)務(wù)更加靈活的技術(shù)或方法通常非常有吸引力。零信任如何幫助：通過簡化和動態(tài)、實時的策略來增強(qiáng)安全性，同時提高生產(chǎn)力。改進(jìn)的預(yù)防措施和減少的安全維護(hù)開銷，使企業(yè)隨時準(zhǔn)備并專注于抓住商業(yè)機(jī)會。即使只是為安全團(tuán)隊騰出時間以便更好地與業(yè)務(wù)協(xié)作，也是有價值的。對誰重要：首席執(zhí)行官（CEO）、首席流程官（CPO）、首席信息安全官（CISO）、首席技術(shù)官（CTO）、首席信息官（CIO）、首席運(yùn)營官（COO），風(fēng)險、運(yùn)營團(tuán)隊零信任模型提供了適應(yīng)不斷變化的業(yè)務(wù)需求的靈活性。當(dāng)員工在改變組織角色時，或者當(dāng)新系統(tǒng)上線應(yīng)用市場機(jī)遇時，訪問策略可以自動調(diào)整。這使組織在不損害安全性的情況下能夠快速適應(yīng)不斷變化的業(yè)務(wù)需求。零信任模型確保職員可以在任何地方、任何設(shè)備上安全地訪問公司資源。這通過提供對資源的安全訪問來促進(jìn)遠(yuǎn)程工作，允許職員在保持安全標(biāo)準(zhǔn)的同時輕松訪問完成工作所需的資源。通過對不同部門和團(tuán)隊提供資源的安全訪問，允許員工更輕松地協(xié)助，并在不損害安全性的情況下共享資源，從而提高生產(chǎn)力。零信任通過提供統(tǒng)一的控制平面和策略模型來簡化企業(yè)安全架構(gòu)的操作，從而提高系統(tǒng)管理和用戶訪問的效率。這使得組織能夠在管理風(fēng)險的同時快速行動以追求商業(yè)機(jī)會。此外，設(shè)備狀況、惡意軟件狀態(tài)以及對安全策略的更改都會被持續(xù)監(jiān)控和驗證，允許組織能自信而敏捷地執(zhí)行。不僅如此，零信任通過提供可應(yīng)用于任何環(huán)境的全面安全框架，加快了像云計算和移動設(shè)備等新技術(shù)的采用。通過增強(qiáng)組織的安全態(tài)勢并最小化安全漏洞的風(fēng)險，零信任可以在保持嚴(yán)格的安全協(xié)議的同時更快、更順暢地部署新的應(yīng)用和服務(wù)。商業(yè)價值：促進(jìn)合規(guī)合規(guī)要求可能是政府或行業(yè)監(jiān)管機(jī)構(gòu)強(qiáng)加給企業(yè)的，也可能是企業(yè)為了通過獲得各種認(rèn)證來提高其級別而自愿采用的。在這兩種情況下，組織都要求證明它符合合規(guī)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)通常規(guī)定了各種技術(shù)和流程控制。合規(guī)報告是記錄和證明這些控制是適當(dāng)且有效的行為。未能滿足合規(guī)要求可能會導(dǎo)致罰款，而且可能數(shù)額巨大。零信任如何幫助：零信任系統(tǒng)需要對動態(tài)和上下文感知策略進(jìn)行積極評估。因為這些策略是動態(tài)的，因此減少執(zhí)行策略所需的人工工作量。而且，由于它們可以綁定到業(yè)務(wù)流程，這些系統(tǒng)通?？梢宰詣由珊弦?guī)報告。零信任系統(tǒng)可以減少執(zhí)行控制和報告合規(guī)要求（創(chuàng)建審計文檔）的成本和工作量。它們還確保組織持續(xù)合規(guī)，而不僅僅是定期合規(guī)。對誰重要：董事會、合規(guī)團(tuán)隊/首席合規(guī)官、治理風(fēng)險合規(guī)（GRC）團(tuán)隊、首席財務(wù)官（CFO）、應(yīng)用所有者滿足和報告合規(guī)需求通常是復(fù)雜、耗時和昂貴的。零信任會在很多種方式中減少這種開銷。首先，由于零信任系統(tǒng)是基于上下文的自動化策略，這對于它們來說更容易實現(xiàn)并保持合規(guī)。這是因為策略，通常被描述成有意義的業(yè)務(wù)術(shù)語，會自動適應(yīng)身份或關(guān)聯(lián)設(shè)備的變化，來確保組織持續(xù)合規(guī)。其次，零信任系統(tǒng)的控制集通常是自動文檔化的。當(dāng)范圍內(nèi)資產(chǎn)的策略清晰且一致時，所有流量都被加密，所有訪問都被記錄，證據(jù)收集的負(fù)擔(dān)和時間減少，從而減少審計本身帶來的組織負(fù)擔(dān)。換而言之，零信任架構(gòu)減少了開銷和合規(guī)審計給組織帶來的“麻煩”。商業(yè)價值：維護(hù)聲譽(yù)和品牌價值為什么對企業(yè)重要：當(dāng)今世界，網(wǎng)絡(luò)威脅和數(shù)據(jù)泄露變得越來越普遍，安全已成為各種規(guī)模的企業(yè)的關(guān)鍵憂慮。數(shù)據(jù)泄漏不但會導(dǎo)致財務(wù)損失，還會導(dǎo)致聲譽(yù)受損，影響公司的品牌價值和股價。所以，企業(yè)需要采取措施來增加安全性，捍衛(wèi)自己的品牌價值。零信任如何幫助：零信任架構(gòu)將強(qiáng)化組織作為目標(biāo)，加快威脅檢測和響應(yīng)，并減少成功攻擊的影響。這些好處將通過減少網(wǎng)絡(luò)攻擊的頻率和影響來保護(hù)其聲譽(yù)和品牌價值。對誰重要：企業(yè)品牌和聲譽(yù)的安全和保障涉及許多利益相關(guān)者，包括批準(zhǔn)預(yù)算的高管、部署安全系統(tǒng)的IT領(lǐng)導(dǎo)、確保合規(guī)的法務(wù)人員以及監(jiān)視安全協(xié)議的人力資源人員。零信任是公關(guān)消息傳遞和客戶對數(shù)據(jù)保護(hù)期望的有用參考。通過實施這些措施，企業(yè)可以保護(hù)其數(shù)據(jù)免受未授權(quán)訪問、盜竊和其他網(wǎng)絡(luò)威脅。企業(yè)還可以投資于能夠?qū)崟r監(jiān)測和響應(yīng)威脅的安全監(jiān)控工具。這些工具可以幫助企業(yè)快速識別和響應(yīng)安全事故最小化泄漏造成的損失。總之，提高安全性和捍衛(wèi)品牌價值是企業(yè)的優(yōu)先任務(wù)。通過實施強(qiáng)大的零信任網(wǎng)絡(luò)安全架構(gòu)，對員工開展最佳實踐教育，投資安全監(jiān)控工具，并制定危機(jī)管理計劃，企業(yè)可以保護(hù)其數(shù)據(jù)和聲譽(yù)免受網(wǎng)絡(luò)威脅。IT風(fēng)險為什么對企業(yè)重要：管理和處理IT風(fēng)險來減少安全事故的影響對于各個行業(yè)的組織來說是至關(guān)重要的，這些事故可能會嚴(yán)重影響業(yè)務(wù)運(yùn)營、收入產(chǎn)生和商業(yè)聲譽(yù)。減少IT風(fēng)險有助于保護(hù)敏感信息、保持生產(chǎn)力，確保不間斷的服務(wù)交付，并滿足合規(guī)性和監(jiān)管要求。零信任如何幫助：組織需要一種動態(tài)和全面的方法來增強(qiáng)安全態(tài)勢并減少相關(guān)風(fēng)險。零信任架構(gòu)假定不具有固有的信任，并促進(jìn)動態(tài)的、基于風(fēng)險的、強(qiáng)大的身份與訪問控制，基于上下文和自適應(yīng)的分段、持續(xù)監(jiān)控和主動安全措施。因此，零信任促進(jìn)了強(qiáng)大的安全態(tài)勢，保護(hù)了關(guān)鍵資產(chǎn)，防范了復(fù)雜的網(wǎng)絡(luò)威脅。適用對象：減少IT風(fēng)險對于包括第三方在內(nèi)的各類組織利益相關(guān)者至關(guān)重要。業(yè)務(wù)領(lǐng)導(dǎo)負(fù)責(zé)通過風(fēng)險減少措施來確保組織安全和減少IT風(fēng)險。負(fù)責(zé)評估、實施、管理和監(jiān)控風(fēng)險減少策略的IT和安全團(tuán)隊。處于前端的終端用戶，以及他們的意識、行動和遵循與適應(yīng)的意愿，可以顯著影響零信任策略的采用過程。采用零信任架構(gòu)使組織通過實施嚴(yán)格的訪問控制來降低網(wǎng)絡(luò)安全事故的可能性，并確保用戶和設(shè)備在訪問資源前持續(xù)驗證和授權(quán)，從而最小化未授權(quán)訪問的風(fēng)險。它還可以更好地了解和響應(yīng)潛在異?；顒?，并創(chuàng)建和運(yùn)行更具韌性的網(wǎng)絡(luò)。此外，劃分網(wǎng)絡(luò)和限制橫向移動可以最小化潛在事故的影響半徑，確保任何安全泄漏都被遏制并減輕其影響。這些降低風(fēng)險的措施加強(qiáng)了組織的整體網(wǎng)絡(luò)安全態(tài)勢，提供更強(qiáng)的韌性以對抗數(shù)字領(lǐng)域中不斷進(jìn)化的威脅。商業(yè)價值：安全地采用新技術(shù)為什么對企業(yè)重要：靈活性、減少成本、與時俱進(jìn)安全地采用新技術(shù)是在不斷變化的環(huán)境和不斷增長的收入中保持競爭力的關(guān)鍵。零信任如何幫助：由于其靈活性，良好構(gòu)建的零信任架構(gòu)應(yīng)該能夠無需大量重建和相關(guān)成本即可集成新技術(shù)。零信任本質(zhì)上是關(guān)于使用更廣泛的上下文信息來做出訪問決策。對誰重要：工程師、財務(wù)、信息安全人員、產(chǎn)品所有者采用基于零信任的架構(gòu)將導(dǎo)致任何從新云、物聯(lián)網(wǎng)到人工智能之類的新技術(shù)的采用更加安全，因為零信任專注于保護(hù)資源（包括基于云的資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)賬號、結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)等），而不僅僅是網(wǎng)絡(luò)段或IP地址。例如，新的基于云的服務(wù)可以很容易地合并到企業(yè)的零信任策略模型和實施點(diǎn)中，并綁定到他們的身份驗證系統(tǒng)中。這使企業(yè)可以在不犧牲安全性或生產(chǎn)力的情況下快速使用這項新技術(shù)。商業(yè)價值：加速業(yè)務(wù)單位整合（并購）為什么對企業(yè)重要：短期：由特定人員從“隨時隨地”訪問關(guān)鍵業(yè)務(wù)系統(tǒng)，將提高并購準(zhǔn)備效率，加速并購執(zhí)行與整合，增加并購成功的可能性。中期：由于標(biāo)準(zhǔn)化、重新架構(gòu)和更改IP尋址方案，收購公司系統(tǒng)和網(wǎng)絡(luò)的集成通常是昂貴、緩慢和痛苦的。這增加了成本和時間，降低并購活動的價值。零信任如何幫助：為用戶和系統(tǒng)提供幾乎即時的精確訪問，實習(xí)協(xié)助和數(shù)據(jù)交換。避免昂貴而緩慢的網(wǎng)絡(luò)集成和IP地址重新映射。為舊系統(tǒng)添加現(xiàn)代身份驗證，在獲得的系統(tǒng)上覆蓋更強(qiáng)的安全層。對誰重要：財務(wù)部門、戰(zhàn)略部門、主導(dǎo)收購的業(yè)務(wù)部門企業(yè)兼并和收購(M&A)通常對企業(yè)具有戰(zhàn)略重要性，涉及大量資金，并且通常具有很大的緊迫性。他們也經(jīng)常失敗——《哈佛商業(yè)評論》指出，70%到90%的收購都失敗了，“整合”是主要的潛在挑戰(zhàn)。整合是一個多維度的問題，因為對數(shù)據(jù)和計算機(jī)系統(tǒng)的訪問幾乎是當(dāng)今業(yè)務(wù)每一個方面的基礎(chǔ)，而且訪問系統(tǒng)可能以非常重要的方式幫助或阻礙被收購公司的整合。零信任可以通過兩種方式加速訪問。首先，在短期內(nèi)，零信任系統(tǒng)將使正確的人（或系統(tǒng)）能夠精確訪問正確數(shù)據(jù)和操作系統(tǒng)。這既應(yīng)用于收購前的盡職調(diào)查，也應(yīng)用于即時的收購后整合任務(wù)。關(guān)鍵人員的訪問至關(guān)重要且時間敏感，企業(yè)必須在不損害安全性的情況下這樣做。其次，在收購?fù)瓿珊蟮闹衅?，零信任系統(tǒng)可以快速部署一致和標(biāo)準(zhǔn)化的訪問方法、身份、驗證和策略實施。零信任平臺通常允許不對被收購公司進(jìn)行完整的網(wǎng)絡(luò)改造的情況下實現(xiàn)目標(biāo)。商業(yè)價值：更好地利用現(xiàn)有投資為什么對企業(yè)重要：減少運(yùn)營成本和現(xiàn)有投資間更好的集成，提供更好的可見性和對威脅的響應(yīng)。零信任如何幫助：通過將控制簡化到更少的平臺，并最大程度地提高技術(shù)之間的集成，零信任可以創(chuàng)建一個簡化的集成技術(shù)堆棧，具有更低的運(yùn)營成本和更高的安全效率。對誰重要：首席信息安全官（CISO）、首席信息官（CIO）、采購、首席財務(wù)官（CFO）、安全運(yùn)營由于零信任結(jié)構(gòu)利用了常用部署的安全基礎(chǔ)設(shè)施的最佳實踐，因此組織不必為了滿足需求而購買新技術(shù)，只需要當(dāng)前使用的現(xiàn)有技術(shù)能滿足控制的需要。例如，通?？梢允褂矛F(xiàn)有的身份和訪問平臺作為起點(diǎn)，并使用動態(tài)觸發(fā)的多因素驗證（MFA）和其他上下文分層，如設(shè)備運(yùn)行狀況和位置，來提供更粒度的訪問控制。從那時開始，網(wǎng)絡(luò)基礎(chǔ)設(shè)施可能會減少，但是對于擁有傳統(tǒng)內(nèi)部工作負(fù)載的組織，可以根據(jù)要求繼續(xù)利用當(dāng)前的投資。在大多數(shù)組織中，很可能已經(jīng)有一些控制和活動非常適合零信任策略，并且應(yīng)該擴(kuò)展以覆蓋企業(yè)內(nèi)更廣泛的范圍。通過在整體零信任策略模型中增加現(xiàn)有平臺的利用率，組織可以開始逐步淘汰一些重點(diǎn)產(chǎn)品，以支持整合，從而提高效率并降低運(yùn)營成本。商業(yè)價值：提高可視性和分析性為什么對企業(yè)重要：改進(jìn)并增強(qiáng)數(shù)據(jù)收集，并將數(shù)據(jù)轉(zhuǎn)換為信息和知識，使企業(yè)能夠做出與風(fēng)險和這些決策的成功或失敗相關(guān)的明智的安全決策。零信任如何幫助：收集和報告身份和上下文增強(qiáng)數(shù)據(jù)提供了跨風(fēng)險領(lǐng)域的可見性，以及特定變更對整個環(huán)境的總體影響。這種可視性還允許更好地識別資源需求，以及決策可能影響的過程。對誰重要：首席戰(zhàn)略官（CSO）、首席信息官（CIO）、首席運(yùn)營官（COO）、首席財務(wù)官（CFO）IT、運(yùn)營和安