零信任商业价值综述

©2023云安全联盟大中华区版权所有1 @2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发； （d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《零信任商业价值综述（CommunicatingtheBusinessValueofZeroTrust）》由CSA 工作组家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）： 组长：陈本峰翻译组： 陈珊余晓光赵锐研究协调员： 郑元杰 感谢以下单位的支持与贡献： 华为技术有限公司苏州云至深技术有限公司 CSA零信任工作组 零信任研究和指导的范围必然包括云和内部部署环境以及移动终端，并适用于物联网(IoT)和运营技术(OT)。CSA零信任(ZT)工作组的目标是: 协作开发和提高零信任(ZT)最佳实践的意识，必要的、适合云计算的信息安全方法(InfoSec)。 提供思想领导，并教育行业的优势和劣势，不同的ZT方法，因此组织可以根据他们的具体情况做出明智的决策 需求和优先级。在架构和实现上有意采取与产品和供应商无关的方法 ©2023云安全联盟大中华区版权所有4 成熟的零信任实现方法。在零信任问题上采取技术上合理的立场，并提出站得住脚的建议，保持产品和供应商中立。 英文版本编写专家 主要作者： JasonGarbisAlexSharpe 贡献者： ElierCruz JoshWoodruff SaifAzwar RohiniSulatycki JonathanFlack ChristopherSteffen JosephRoblee MeghaKalsi NelsonSpessardJr ErikJohnson AndreaKnoblauch LarsRuddigkeit Dr.RonMartin AkinIsinkaye HeverinJoyWilliams RajeshMurthy DonO’Neil 审校者： MichaelRozaOsamaSalah CSA分析师： ErikJohnson 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有5 序言 零信任是基于复杂多变的网络安全环境诞生的一种新的网络安全策略，它的出现同时也改变了企业的运营流程并促使了对安全合规的重视。CSA针对零信任提出了七个原则，这七个原则是让零信任比别的安全策略更为高效的核心，并且任何零信任框架的建设都必须基于这些原则。 零信任的核心意味着企业对于任何访问的信任都是从零开始的，为了帮助人们理解零信任，CSA概况了三种方法，分别是以始为终、泄露总会发生、风险控制。在了解了这三种方法之后，企业可以更容易地理解零信任并接受它带来的商业价值。 本白皮书以商业价值为核心，提出了提高运营效率、减少成本、提高运营韧性、降低风险、提高合规性、降低合规成本等好处。文中包括了14种商业价值，针对各类企业的方方面面，并且它们都有着固定的格式，以供安全专家参考并向企业各部门传达。 零信任现已被许多企业初步采用，其安全高效的特性被许多企业所青睐着，它的出现意味着企业将从上而下地实施着更好的安全措施。然而，这需要安全专家清晰地传达零信任的商业价值，并为此计划，才能让企业在当下的网络安全环境中取得先机。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢4 序言6 摘要9 面向人群9 目标9 1.什么是零信任？10 2.对零信任的理解误区12 3.商业价值综述纲领13 4.商业价值14 4.1商业价值的含义？14 4.1.2商业价值与风险15 4.2信息安全的商业价值16 4.3为零信任投资做商业案例18 5.零信任的商业价值19 章节格式20 5.1商业价值：成本节约与优化21 5.2商业价值：运营韧性22 5.3商业价值：业务敏捷23 5.4商业价值：促进合规24 5.5商业价值：维护声誉和品牌价值25 5.6商业价值：减少IT风险26 5.7商业价值：安全地采用新技术27 5.8商业价值：加速业务单位整合（并购）27 5.9商业价值：更好地利用现有投资28 5.10商业价值：提高可视性和分析性29 5.11商业价值：改进用户体验30 5.12商业价值：支持战略性业务计划31 5.13商业价值：重塑业务流程32 5.14商业价值：更好地满足潜在客户的安全需求33 6.传达商业价值34 了解你的受众35 了解你组织结构35 建立一个团队并形成联盟35 沟通策略35 为过程制定计划36 7.结论36 附录–有用参考资料38 摘要 零信任是一个大规模的产业趋势，被全世界许多组织采用以及宣传；它带来了更好的安全性能同时减少支出并提高商业效率以及灵活性。然而，“零信任”作为一个行业专有名词存在被错误理解或者难以理解。业务领导与非安全专业人才，例如重要参与者，预算持有人，以及维护者，他们在各个组织零信任发展的道路上影响着第一步的成败。这是因为，采用零信任作为一种组织战略，从根本上讲，需要在整个企业中进行改变、支撑和投入大量的时间、精力和金钱。所以，安全人员需要传达零信任的理念给非技术以及非专业人员，从下到上直到董事会的成员。我们相信信息安全产业仍未能让从业人员简洁直接地传达零信任策略带来的商业价值。这篇CSA国际云安全联盟的指南可以弥补这一空白。 面向人群 该文档主要面向人群是信息安全专家与从业者，他们希望向各个组织里的业务领导与重要参与者展示零信任带来的价值与商业影响。 该文档次要面向人群是各个组织里的非技术、非安全方面的从业者。这份白皮书包含部分技术概念，但是也能让非专业人群理解。 目标 该文档为信息安全专家提供信息与思路，以此来有效沟通与展示为什么他们的组织应该投资零信任安全战略。这些沟通是为了向内部参与者展示：例如非安全方面IT人员，企业规划人员，财务与预算团队，业务线经理，应用程序所有者，企业首席高管（CEO:首席执行官，COO:首席运营官，CFO:首席财务官）以及董事会成员。 这份白皮书使得安全专家能够向组织里的业务领导与重要参与者展示采用 零信任带来的价值与商业影响1。其次，说服组织主动投资零信任。 1.什么是零信任？ 零信任是一个基于若干核心原则的网络安全战略，以简单的、具有可观的积极影响方式作用于组织的架构、方式、运营。根据美国国家安全电信咨询委员（NSTAC）《零信任和可信身份管理报告》中的表述：“零信任是一个网络安全战略，假定没有任何用户和资产被隐式信任。它默认破坏已经发生或者即将发生，所以，企业范围内的用户不应该通过简单的认证就允许访问敏感信息。反而每个用户、设备、应用以及交易必须不间断地验证身份。” 根据美国国家标准与技术研究院（NIST）发布的《零信任建设》（SP800-207）文档定义: “零信任（ZT）是一个术语，它是一个不断进化的网络安全范式的集合，从基于网络边界的静态防御，到专注于用户、资产、以及资源。零信任架构（ZTA）使用零信任理念来规划产业和企业的基础设施和流程。零信任假设没有任何隐式信任赋予物理或者网络位置（局域网或者互联网）的资产或者用户账户，或者基于资产拥有权（企业所有或者个人所有）来赋予信任。验证和授权（访问主体和设备）是独立的功能，作用在与企业资源的对话建立之前。” NIST文档还提出，零信任“不是单个架构而是一系列关于流程、系统设计和运营的指引原则，它可用作改进任意分类或者敏感等级的安全态势。”其中还包括了7个零信任的核心原则，列出以供参考： 1.所有数据资源和计算服务应当作资源。 2.所有通信在任意网络位置都应被保护。 3.对每个的企业资源访问权限是基于单次会话赋予的。 1Someinternationaleffortsusetheterm“consequences.”ISO31000,Riskmanagement—Guidelinesis anexample. 4.资源访问是基于动态授权–包括客户身份，应用/服务，请求的资产的可观测状态–也可能包含其他行为或者环境参数。 5.企业持续监视和衡量所有拥有资产以及相关资产的完整性和安全性。6. 所有资源的验证和授权是动态并严格强制执行于访问被允许之前。 6.企业尽可能多地收集关于资产、网络基础设施和通信的当前状态的信息，并利用它来改善其安全状况。 总体来说，零信任很大的程度不同于传统的、基于信任的“城堡护城河”物理网络边界安全架构，因为传统架构在云计算、远程办公、威胁加剧的时代下变得不再高效。 老练的攻击者越来越精于利用在现代高级的分布式企业网络中暴露出的技术或者人力薄弱点，时常严重地影响网络连接稳定性。成功的网络攻击基本上利用了各种方式的信任。这使得“信任”，无论是隐性的还是显性的，这个危险的薄弱点必须被排除。在零信任中，所有的网络数据包都是不可信的，同其他在系统中经过的数据包分别单独对待。信任等级实质上为零，所以被称之为零信任。值得注意的是，这个方法关注的是从数字系统中移除信任，而不是人群、关系或者文化。 零信任是一个全面的网络安全战略，包含云/多云，内部和外部伙伴/参与者用户（企业设别或者自带设备）端点，私有部署以及混合系统，包括IT（信息技术），OT（运营技术）和IoT（物联网）。零信任不是产品（尽管基于零信任的安全基础设施可以利用各种不同的产品来实施），也不需要组织剔除更换原有的安全基础设施。零信任驱动着新一代的信息安全的架构方法，使得资源与控制的进行对齐来保证最低权限的访问，保证每个网络数据包视作不可信，让系统强制在流程的每一层执行“默认拒绝”模型。 零信任方法是一个慎重和谨慎的战略，指引着组织对于基础技术的选择和部署，包括身份、设备、网络，应用和数据尽可能的安全。契合零信任的慎重决定反映了对于日渐增长的危险的认识，以及对更稳固和适应性强的安全态势的需求，利用基于风险的方法来授权访问。零信任的采用包括动态环境、严格 的访问控制、持续的验证、行为监视以及严格的安全规章强制执行。 通过慎重地采用零信任方法，组织志在通过以一个更警惕和怀疑的态度面对网络流量和人工与非人工活动来最小化数据泄露风险和非授权访问风险。 零信任现处在被企业大量应用的早期阶段，而且是美国联邦政府新的网络安全策略的必要部分。同样地，我们期望持续关注如何成功在组织中采用零信任的指引。 2.对零信任的理解误区 零信任安全是一个战略，不是即买即用的，或者开发即可实施的。作为一个战略，它将影响你的思维、决策、优先级和对IT与安全工程的考虑。采用这个战略意味着您的组织架构将会升级和进化到零信任架构。应用得当的话，零信任指引着您对于技术架构的选择和部署，包括身份、设备、网络、应用、数据、以及交叉领域例如可视化与分析、自动化与编排、还有治理。 零信任不是防止数据泄露的一招致胜绝招。尽管大多数泄露仅包含数以千计的数据记录，但百万记录级别数据的泄露会使得代价成指数级上升。警惕性和严谨的治理是有效减少以下风险因素的重要方法： 网络钓鱼 商业电子邮箱泄漏 第三方软件漏洞 被盗窃或泄漏凭证 恶意内部人士 云端配置错误 社会工程 物理安全被攻陷 意外数据流失 设备丢失 以上这些是数据泄漏的主要来源，并是零信任实施时需要处理的。 零信任不仅仅是技术。市面上有大量的安全技术，在明确的环境中对威胁对症下药。相比技术，零信任更关注的是人和流程，它需要的是齐心协力，把这些