零信任商业价值综述 2023.docx

《零信任商业价值综述 2023.docx》由会员分享，可在线阅读，更多相关《零信任商业价值综述 2023.docx（30页珍藏版）》请在第一文库网上搜索。

1、目录致谢4序言6摘要9面向人群9目标91 .什么是零信任？ 102 .对零信任的理解误区 123 .商业价值综述纲领134 .商业价值144.1 商业价值的含义？ 144.1.2商业价值与风险154.2 信息安全的商业价值164.3 为零信任投资做商业案例185 .零信任的商业价值195.1 式205.2 商业价值：成本节约与优化215.3 商业价值：运营韧性225.4 商业价值：业务敏捷235.5 商业价值：促进合规245.6 商业价值：维护声誉和品牌价值255.7 商业价值:减少IT风险 265.8 商业价值：安全地采用新技术275.9 商业价值：加速业务单位整合（并购）275.10 业价

2、值：更好地利用现有投资285.11 商业价值：提高可视性和分析性295.12 商业价值:改进用户体验305.13 商业价值：支持战略性业务计划315.14 商业价值:重塑业务流程325.15 商业价值：更好地满足潜在客户的安全需求336 .传达商业价值34了解你的受众35了解你组织结构35建立一个团队并形成联盟35沟通策略35为过程制定计划367 .结论36附录-有用参考资料38摘要零信任是一个大规模的产业趋势，被全世界许多组织采用以及宣传；它带 来了更好的安全性能同时减少支出并提高商业效率以及灵活性。然而，“零信 任”作为一个行业专有名词存在被错误理解或者难以理解。业务领导与非安全 专业人

3、才，例如重要参与者，预算持有人，以及维护者，他们在各个组织零信 任发展的道路上影响着第一步的成败。这是因为，采用零信任作为一种组织战 略，从根本 上讲，需要在整个企业中进行改变、支撑和投入大量的时间、精力 和金钱。所以，安全人员需要传达零信任的理念给非技术以及非专业人员，从 下到上直到董事会 的成员。我们相信信息安全产业仍未能让从业人员简洁直接 地传达零信任策略带来的商业价值。这篇CSA国际云安全联盟的指南可以弥补 这一空白。面向人群该文档主要面向人群是信息安全专家与从业者，他们希望向各个组织里的 业务领导与重要参与者展示零信任带来的价值与商业影响。该文档次要面向人群是各个组织里的非技术、非安

4、全方面的从业者。这份 白皮书包含部分技术概念，但是也能让非专业人群理解。目标该文档为信息安全专家提供信息与思路，以此来有效沟通与展示为什么他 们的组织应该投资零信任安全战略。这些沟通是为了向内部参与者展示：例如 非安全方面IT人员，企业规划人员，财务与预算团队，业务线经理，应用程序 所有者，企业首席高管（CE0:首席执行官，Co0:首席运营官，CFO:首席财务 官）以及董事会成员。这份白皮书使得安全专家能够向组织里的业务领导与重要参与者展示采用零信任带来的价值与商业影响 其次，说服组织主动投资零信任。1 .什么是零信任？零信任是一个基于若干核心原则的网络安全战略，以简单的、具有可观的 积极影响

5、方式作用于组织的架构、方式、运营。根据美国国家安全电信咨询委 员（NSTAC）零信任和可信身份管理报告中的表述：“零信任是一个网络 安全战略，假定没有任何用户和资产被隐式信任。它默认破坏已经发生或者即 将发生，所以，企业范围内的用户不应该通过简单的认证就允许访问敏感信 息、。反而每个用户、设备、应用以及交易必须不间断地验证身份。”根据美国国家标准与技术研究院（NIST）发布的零信任建设（SP 800- 207）文档定义：零信任（ZT）是一个术语，它是一个不断进化的网络安全范式的集合， 从基于网络边界的静态防御，到专注于用户、资产、以及资源。零信任架 构（ZTA）使用零信任理念来规划产业和企业的

6、基础设施和流程。零信任假 设没有任何隐式信任赋予物理或者网络位置（局域网或者互联网）的资产 或者用户账户，或者基于资产拥有权（企业所有或者个人所有）来赋予信 任。验证和授权（访问主体和设备）是独立的功能，作用在与企业资源的 对话建立之前。NIST文档还提出，零信任“不是单个架构而是一系列关于流程、系统设计 和运营的指引原则，它可用作改进任意分类或者敏感等级的安全态势。”其中 还包括了 7个零信任的核心原则，列出以供参考：L所有数据资源和计算服务应当作资源。2 .所有通信在任意网络位置都应被保护。3,对每个的企业资源访问权限是基于单次会话赋予的。1 Some international effo

7、rts use the term consequences., ISO 31000, Risk management - Guidelines isan example.4 .资源访问是基于动态授权-包括客户身份，应用/服务，请求的资产的 可观测状态-也可能包含其他行为或者环境参数。5 .企业持续监视和衡量所有拥有资产以及相关资产的完整性和安全性。6. 所有资源的验证和授权是动态并严格强制执行于访问被允许之前。6 .企业尽可能多地收集关于资产、网络基础设施和通信的当前状态的信 息、，并利用它来改善其安全状况。总体来说，零信任很大的程度不同于传统的、基于信任的“城堡护城河” 物理网络边界安全架构

8、，因为传统架构在云计算、远程办公、威胁加剧的时代 下变得不再高效。老练的攻击者越来越精于利用在现代高级的分布式企业网络中暴露出的技 术或 者人力薄弱点，时常严重地影响网络连接稳定性。成功的网络攻击基本上 利用了各种方式的信任。这使得“信任”，无论是隐性的还是显性的，这个危 险的薄弱点必须被排除。在零信任中，所有的网络数据包都是不可信的，同其 他在系统中经过的数据包分别单独对待。信任等级实质上为零，所以被称之为 零信任。值得注意的是，这个方法关注的是从数字系统中移除信任，而不是人 群、关系或者文化。零信任是一个全面的网络安全战略，包含云/多云，内部和外部伙伴/参与 者用户（企业设别或者自带设备）

9、端点，私有部署以及混合系统，包括IT （信 息技术），OT （运营技术）和IoT （物联网）。零信任不是产品（尽管基于零 信任的安全基础设施可以利用各种不同的产品来实施），也不需要组织剔除更 换原有的安全基础设施。零信任驱动着新一代的信息安全的架构方法，使得资 源与控制的进行对齐来保证最低权限的访问，保证每个网络数据包视作不可 信，让系统强制在流程的每一层执行“默认拒绝”模型。零信任方法是一个慎重和谨慎的战略，指引着组织对于基础技术的选择和 部署，包括身份、设备、网络，应用和数据尽可能的安全。契合零信任的慎重 决定反映了对于日渐增长的危险的认识，以及对更稳固和适应性强的安全态势 的需求，利用基

10、于风险的方法来授权访问。零信任的采用包括动态环境、严格 的访问控制、持续的验证、行为监视以及严格的安全规章强制执行。通过慎重地采用零信任方法，组织志在通过以一个更警惕和怀疑的态度面 对网络流量和人工与非人工活动来最小化数据泄露风险和非授权访问风险。零信任现处在被企业大量应用的早期阶段，而且是美国联邦政府新的网络 安全策略的必要部分。同样地，我们期望持续关注如何成功在组织中采用零信 任的指引。2 .对零信任的理解误区零信任安全是一个战略，不是即买即用的，或者开发即可实施的。作为一 个战略，它将影响你的思维、决策、优先级和对IT与安全工程的考虑。采用这 个战略意味着您的组织架构将会升级和进化到零信

11、任架构。应用得当的话，零 信任指引着您对于技术架构的选择和部署，包括身份、设备、网络、应用、数 据、以及交叉领域例如可视化与分析、自动化与编排、还有治理。零信任不是防止数据泄露的一招致胜绝招。尽管大多数泄露仅包含数以千 计的数据记录，但百万记录级别数据的泄露会使得代价成指数级上升。警惕性 和严谨的治理是有效减少以下风险因素的重要方法：显网缭勺鱼融商业电子邮箱泄漏显第三方软件漏洞也被盗窃或泄漏凭证也恶意内部人士显云端配置错误配会工程皿物理安全被攻陷意外数据流失显设备丢失以上这些是数据泄漏的主要来源，并是零信任实施时需要处理的。零信任不仅仅是技术。市面上有大量的安全技术，在明确的环境中对威胁 对症

12、下药。相比技术，零信任更关注的是人和流程，它需要的是齐心协力，把 这些要素结合起来，通过自动化策略达成更全面的安全。零信任并不难，但它要求安全和技术团队与业务方（这个文档的重点）建 立合伙关系。这带来了组织内的文化转变，可能会一时难以适应，但当这个关 系建立完成时，零信任会变得简单许多以及更加高效。3 .商业价值综述纲领商业价值纲领由CSA国际云安全联盟零信任工作组编撰，其中包括几个可 以帮助理解和传达零信任商业价值的方法。以始为终：这个方针鼓励人们在零信任过程的开始建立关于组织期望方向 与明确的展望目标。与商业价值相关的期望结果包括减少合规成本、事故的经 济影响、IT和流程债务的复杂性、残余

13、风险，以及总体拥有成本（TC0）。泄露总会发生：承认这个事实使得机构不再要求IO0%安全这种不现实的目 标，转而考虑更有安全韧性这一更容易达成的目标。这个转变带来三个好处：也 减少泄露发生时的影响设备波及范围也减少黑客在企业里移动和侦察的能力也通过限制单次事故的破坏和损失而减少负面影响风险控制：这是零信任中的关键元素。理解组织的风险偏好可以提供一个 容许风险的阈值。零信任的目标帮助机构将内在风险减少至可接受范围，通过 实施控制减少可能性、影响，或二者兼而有之。这可使组织变得更坚韧以及更 灵活。采用基于风险的优先级将帮助组织理解和识别他们需要解决的差距。组织 可以做个稳妥的决策来选择出发点-通常

14、从小问题出发是情理之中，通过快 速达成短期目标来改善安全态势并建立零信任倡议的推动力。当选择一个较小 且低风险的保护面作为试点时，获得和维护领导层的接纳会更容易，这样就可 以利用其指标来突出安全范式的变化并展示商业价值。传达零信任的商业价值将有效鼓励领导层来发布正确的指令，为成功的零 信任过程的树立根基。4 .商业价值4.1 商业价值的含义？这一章节是为了向读者介绍普遍的核心商业概念和术语。提供了基础词汇 和概念模型使得读者提出更有价值的问题，理解商业驱动因素，构筑一个具有 商业意义的零信任应用案例。这一章节并不是全面的商业或者金融管理介绍， 因为这方面在网上已经有许多可靠的相关资源了。除了营

15、利性企业之外，还有许多不同类型的组织，包括非营利性组织、政 府机构，以及监管机构，它们并不是传统的企业。比如一个为了监管银行产业 的联邦政府机构就不是一个“企业”，但它仍可以从零信任中获益。像这样的 组织，它们的商业价值就应该是有助于实现其组织的任务目标。企业运作在财务或者绩效指标上，已经发展出一套全面的标准来衡量这些 指标。如果你的组织是一家公开贸易的公司，就需要公开报告财务状况。这些 报告对你来说是必读的，因为它们将你与组织的指标和绩效联系起来，包括面 临的战略挑战和机遇。尽管并非所有以下的指标都适用于每个组织，这个列表涉及了几个你应该 熟悉的指标。为了了解组织的具体情况，最明智的可能是在做了一些基础调查 后，找财务部门一位友好的同事，问下他们哪些财务术语和指标是对你的组织 最重要的。22 There are also reputable web references for these terms, including Investopedia Financial Terms 2023云安全联盟大中华区版权所有14显 营收：季度、年度、年度持续收入也净收入或利也保证金速收入成本和毛利融 售货成本(cs).现金流也 EBITDA (税息折旧及摊销前利润)