零信任商业价值综述

@2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 《零信任商业价值综述（CommunicatingtheBusinessValueofZeroTrust）》由CSA工作组家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：陈本峰 翻译组： 陈珊余晓光赵锐 研究协调员： 郑元杰 感谢以下单位的支持与贡献： 华为技术有限公司 苏州云至深技术有限公司 CSA零信任工作组 零信任研究和指导的范围必然包括云和内部部署环境以及移动终端，并适用于物联网(IoT)和运营技术(OT)。CSA零信任(ZT)工作组的目标是: 协作开发和提高零信任(ZT)最佳实践的意识，必要的、适合云计算的信息安全方法(InfoSec)。 提供思想领导，并教育行业的优势和劣势，不同的ZT方法，因此组织可以根据他们的具体情况做出明智的决策需求和优先级。在架构和实现上有意采取与产品和供应商无关的方法 成熟的零信任实现方法。在零信任问题上采取技术上合理的立场，并提出站得住脚的建议，保持产品和供应商中立。 英文版本编写专家 主要作者： JasonGarbisAlexSharpe 贡献者： ElierCruzJoshWoodruffSaifAzwarRohiniSulatyckiJonathanFlackChristopherSteffenJosephRobleeMeghaKalsiNelsonSpessardJrErikJohnsonAndreaKnoblauchLarsRuddigkeitDr.RonMartinHeverinJoyWilliamsRajeshMurthyDonO’NeilAkinIsinkaye 审校者： MichaelRozaOsamaSalah ErikJohnson 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予 雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 序言 零信任是基于复杂多变的网络安全环境诞生的一种新的网络安全策略，它的出现同时也改变了企业的运营流程并促使了对安全合规的重视。CSA针对零信任提出了七个原则，这七个原则是让零信任比别的安全策略更为高效的核心，并且任何零信任框架的建设都必须基于这些原则。 零信任的核心意味着企业对于任何访问的信任都是从零开始的，为了帮助人们理解零信任，CSA概况了三种方法，分别是以始为终、泄露总会发生、风险控制。在了解了这三种方法之后，企业可以更容易地理解零信任并接受它带来的商业价值。 本白皮书以商业价值为核心，提出了提高运营效率、减少成本、提高运营韧性、降低风险、提高合规性、降低合规成本等好处。文中包括了14种商业价值，针对各类企业的方方面面，并且它们都有着固定的格式，以供安全专家参考并向企业各部门传达。 零信任现已被许多企业初步采用，其安全高效的特性被许多企业所青睐着，它的出现意味着企业将从上而下地实施着更好的安全措施。然而，这需要安全专家清晰地传达零信任的商业价值，并为此计划，才能让企业在当下的网络安全环境中取得先机。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 ©2023云安全联盟大中华区版权所有7致谢................................................................................................................................4序言................................................................................................................................6摘要................................................................................................................................9面向人群.................................................................................................................9目标.........................................................................................................................91.什么是零信任？....................................................................................................102.对零信任的理解误区............................................................................................123.商业价值综述纲领................................................................................................134.商业价值................................................................................................................144.1商业价值的含义？.........................................................................................144.1.2商业价值与风险...................................................................................154.2信息安全的商业价值.....................................................................................164.3为零信任投资做商业案例.............................................................................185.零信任的商业价值................................................................................................19章节格式...............................................................................................................205.1商业价值：成本节约与优化.........................................................................215.2商业价值：运营韧性.....................................................................................225.3商业价值：业务敏捷.....................................................................................235.4商业价值：促进合规.....................................................................................245.5商业价值：维护声誉和品牌价值.................................................................255.6商业价值：减少IT风险................................................................................265.7商业价值：安全地采用新技术.....................................................................275.8商业价值：加速业务单位整合（并购）.....................................................27 5.9商业价值：更好地利用现有投资.................................................................285.10商业价值：提高可视性和分析性...............................................................295.11商业价值：改进用户体验...........................................................................305.12商业价值：支持战略性业务计划...............................................................315.13商业价值：重塑业务流程...........................................................................325.14商业价值：更好地满足潜在客户的安全需求...........................................33 6.传达商业价值........................................................................................................34 了解你的受众.......................................................................................................35了解你组织结构...................................................................................................35建立一个团队并形成联盟...................................................................................35沟通策略..............................................................................