2024零信任商業(yè)價(jià)值

零信任商業(yè)價(jià)值PAGE10PAGE10目錄序言 6摘要 9面向人群 9目標(biāo) 9什么是零信任？ 10對(duì)零信任的理解誤區(qū) 12商業(yè)價(jià)值綜述綱領(lǐng) 13商業(yè)價(jià)值 14商業(yè)價(jià)值的含義？ 144.1.2商業(yè)價(jià)值與風(fēng)險(xiǎn) 15信息安全的商業(yè)價(jià)值 16為零信任投資做商業(yè)案例 18零信任的商業(yè)價(jià)值 19章節(jié)格式 20商業(yè)價(jià)值：成本節(jié)約與優(yōu)化 21商業(yè)價(jià)值：運(yùn)營(yíng)韌性 22商業(yè)價(jià)值：業(yè)務(wù)敏捷 23商業(yè)價(jià)值：促進(jìn)合規(guī) 24商業(yè)價(jià)值：維護(hù)聲譽(yù)和品牌價(jià)值 25商業(yè)價(jià)值：減少IT風(fēng)險(xiǎn) 26商業(yè)價(jià)值：安全地采用新技術(shù) 27商業(yè)價(jià)值：加速業(yè)務(wù)單位整合（并購(gòu)） 27商業(yè)價(jià)值：更好地利用現(xiàn)有投資 28商業(yè)價(jià)值：提高可視性和分析性 29商業(yè)價(jià)值：改進(jìn)用戶體驗(yàn) 30商業(yè)價(jià)值：支持戰(zhàn)略性業(yè)務(wù)計(jì)劃 31商業(yè)價(jià)值：重塑業(yè)務(wù)流程 32商業(yè)價(jià)值：更好地滿足潛在客戶的安全需求 33傳達(dá)商業(yè)價(jià)值 34了解你的受眾 35了解你組織結(jié)構(gòu) 35建立一個(gè)團(tuán)隊(duì)并形成聯(lián)盟 35溝通策略 35為過(guò)程制定計(jì)劃 367.結(jié)論 36摘要零信任是一個(gè)大規(guī)模的產(chǎn)業(yè)趨勢(shì)，被全世界許多組織采用以及宣傳；它帶來(lái)了更好的安全性能同時(shí)減少支出，并提高商業(yè)效率以及靈活性。然而，“零信任”作為一個(gè)行業(yè)專有名詞存在被錯(cuò)誤理解或者難以理解。業(yè)務(wù)領(lǐng)導(dǎo)與非安全專業(yè)人才，例如關(guān)鍵決策人、預(yù)算持有人、以及監(jiān)事等，他們?cè)诟鱾€(gè)組織零信任發(fā)展的道路上影響著第一步的成敗。這是因?yàn)?，采用零信任作為一種組織戰(zhàn)略，從根本上講，需要在整個(gè)企業(yè)中進(jìn)行支撐與改變，以及投入大量的時(shí)間、精力和金錢。所以，安全人員需要傳達(dá)零信任的理念給非技術(shù)以及非專業(yè)人員，從下到上直到董事會(huì)的成員。我們相信，信息安全產(chǎn)業(yè)仍未賦能從業(yè)人員可以簡(jiǎn)潔直接地傳達(dá)零信任戰(zhàn)略的商業(yè)價(jià)值。這篇CSA國(guó)際云安全聯(lián)盟的指南可以彌補(bǔ)這一空白。面向人群該文檔主要面向人群是信息安全專家與從業(yè)者，他們希望向各個(gè)組織里的業(yè)務(wù)領(lǐng)導(dǎo)與重要參與者展示零信任帶來(lái)的價(jià)值與商業(yè)影響。該文檔還面向的人群是各個(gè)組織里的非技術(shù)、非安全方面的從業(yè)者。這份白皮書包含部分技術(shù)概念，但是也能讓非專業(yè)人群理解。目標(biāo)該文檔為信息安全專家提供信息與思路，以此來(lái)有效溝通與展示為什么他們的組織應(yīng)該投資零信任安全戰(zhàn)略。這些溝通是為了向內(nèi)部參與者展示：例如非安全方面IT人員、企業(yè)規(guī)劃人員、財(cái)務(wù)與預(yù)算團(tuán)隊(duì)、業(yè)務(wù)線經(jīng)理、應(yīng)用程序所有者、企業(yè)首席高管（CEO:首席執(zhí)行官，COO:首席運(yùn)營(yíng)官，CFO:首席財(cái)務(wù)官）以及董事會(huì)成員。這份白皮書使得安全專家能夠向組織里的業(yè)務(wù)領(lǐng)導(dǎo)與重要參與者展示采用零信任帶來(lái)的價(jià)值與商業(yè)影響1。其次，說(shuō)服組織主動(dòng)投資零信任。什么是零信任？零信任是一個(gè)基于若干核心原則的網(wǎng)絡(luò)安全戰(zhàn)略，以簡(jiǎn)單的、具有可觀的積極影響方式作用于組織的架構(gòu)、方式、運(yùn)營(yíng)。根據(jù)美國(guó)國(guó)家安全電信咨詢委員會(huì)《零信任和可信身份管理報(bào)告》中的表述：“零信任是一個(gè)網(wǎng)絡(luò)安全戰(zhàn)略，假定沒(méi)有任何用戶和資產(chǎn)被隱式信任。它默認(rèn)破壞已經(jīng)發(fā)生或者即將發(fā)生，所以，企業(yè)范圍內(nèi)的用戶不應(yīng)該通過(guò)簡(jiǎn)單的認(rèn)證就允許訪問(wèn)敏感信息。反而每個(gè)用戶、設(shè)備、應(yīng)用以及交易必須不間斷地驗(yàn)證身份。”根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的《零信任建設(shè)》（SP800-207）文檔定義:“零信任（ZT）是一個(gè)術(shù)語(yǔ)，它是一個(gè)不斷進(jìn)化的網(wǎng)絡(luò)安全范式的集合，從基于網(wǎng)絡(luò)邊界的靜態(tài)防御，到專注于用戶、資產(chǎn)，以及資源。零信任架構(gòu)（ZTA）使用零信任理念來(lái)規(guī)劃產(chǎn)業(yè)和企業(yè)的基礎(chǔ)設(shè)施和流程。零信任假設(shè)沒(méi)有任何隱式信任賦予物理或者網(wǎng)絡(luò)位置（局域網(wǎng)或者互聯(lián)網(wǎng)）的資產(chǎn)或者用戶賬戶，或者基于資產(chǎn)擁有權(quán)（企業(yè)所有或者個(gè)人所有）來(lái)賦予信任。驗(yàn)證和授權(quán)（訪問(wèn)主體和設(shè)備）是獨(dú)立的功能，作用在與企業(yè)資源的對(duì)話建立之前。”NIST文檔還提出，零信任“不是單個(gè)架構(gòu)而是一系列關(guān)于流程、系統(tǒng)設(shè)計(jì)和運(yùn)營(yíng)的指引原則，它可用作改進(jìn)任意分類或者敏感等級(jí)的安全態(tài)勢(shì)?！逼渲羞€包括了7個(gè)零信任的核心原則，列出以供參考：可觀測(cè)狀態(tài)總體來(lái)說(shuō)，零信任很大的程度不同于傳統(tǒng)的、基于信任的“城堡護(hù)城河”物理網(wǎng)絡(luò)邊界安全架構(gòu)，因?yàn)閭鹘y(tǒng)架構(gòu)在云計(jì)算、遠(yuǎn)程辦公、威脅加劇的時(shí)代下變得不再高效。老練的攻擊者越來(lái)越精于利用在現(xiàn)代高級(jí)的分布式企業(yè)網(wǎng)絡(luò)中暴露出的技術(shù)或者人力薄弱點(diǎn)，時(shí)常嚴(yán)重地影響網(wǎng)絡(luò)連接穩(wěn)定性。成功的網(wǎng)絡(luò)攻擊基本上利用了各種方式的信任。這使得“信任”，無(wú)論是隱性的還是顯性的，這個(gè)危險(xiǎn)的薄弱點(diǎn)必須被排除。在零信任中，所有的網(wǎng)絡(luò)數(shù)據(jù)包都是不可信的，同其他在系統(tǒng)中經(jīng)過(guò)的數(shù)據(jù)包分別單獨(dú)對(duì)待。信任等級(jí)實(shí)質(zhì)上為零，所以被稱之為零信任。值得注意的是，這個(gè)方法關(guān)注的是從數(shù)字系統(tǒng)中移除信任，而不是人群、關(guān)系或者文化。零信任是一個(gè)全面的網(wǎng)絡(luò)安全戰(zhàn)略，包含云/多云，內(nèi)部和外部伙伴/參與者用戶（企業(yè)識(shí)別或者自帶設(shè)備）端點(diǎn)，私有部署以及混合系統(tǒng)，包括IT（信息技術(shù)），OT（運(yùn)營(yíng)技術(shù)）和IoT（物聯(lián)網(wǎng)）。零信任不是產(chǎn)品（盡管基于零信任的安全基礎(chǔ)設(shè)施可以利用各種不同的產(chǎn)品來(lái)實(shí)施），也不需要組織剔除更換原有的安全基礎(chǔ)設(shè)施。零信任驅(qū)動(dòng)著新一代的信息安全的架構(gòu)方法，使得資源與控制的對(duì)齊來(lái)保證最低權(quán)限的訪問(wèn)，保證每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包視作不可信，讓系統(tǒng)強(qiáng)制在流程的每一層執(zhí)行“默認(rèn)拒絕”模型。零信任方法是一個(gè)慎重和謹(jǐn)慎的戰(zhàn)略，指引著組織對(duì)于基礎(chǔ)技術(shù)的選擇和部署，包括身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)盡可能地安全。契合零信任的慎重決定反映了對(duì)于日漸增長(zhǎng)的危險(xiǎn)的認(rèn)識(shí)，以及對(duì)更穩(wěn)固和適應(yīng)性強(qiáng)的安全態(tài)勢(shì)的需求，利用基于風(fēng)險(xiǎn)的方法來(lái)授權(quán)訪問(wèn)。零信任的采用包括動(dòng)態(tài)環(huán)境、嚴(yán)格的訪問(wèn)控制、持續(xù)的驗(yàn)證、行為監(jiān)視以及嚴(yán)格的安全規(guī)章強(qiáng)制執(zhí)行。通過(guò)慎重地采用零信任方法，組織志在通過(guò)以一個(gè)更警惕和懷疑的態(tài)度面對(duì)網(wǎng)絡(luò)流量和人工與非人工活動(dòng)來(lái)最小化數(shù)據(jù)泄露風(fēng)險(xiǎn)和非授權(quán)訪問(wèn)風(fēng)險(xiǎn)。零信任現(xiàn)處在被企業(yè)大量應(yīng)用的早期階段，而且是美國(guó)聯(lián)邦政府新的網(wǎng)絡(luò)安全策略的必要部分。同樣地，我們期望持續(xù)關(guān)注如何成功在組織中采用零信任的指引。對(duì)零信任的理解誤區(qū)零信任安全是一個(gè)戰(zhàn)略，不是即買即用的，或者開發(fā)即可實(shí)施的。作為一個(gè)戰(zhàn)略，它將影響你的思維、決策、優(yōu)先級(jí)和對(duì)IT與安全工程的考慮。采用這個(gè)戰(zhàn)略意味著您的組織架構(gòu)將會(huì)升級(jí)和進(jìn)化到零信任架構(gòu)。應(yīng)用得當(dāng)?shù)脑?，零信任指引著您?duì)于技術(shù)架構(gòu)的選擇和部署，包括身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)，以及交叉領(lǐng)域（例如可視化與分析、自動(dòng)化與編排，還有治理）。零信任不是防止數(shù)據(jù)泄露的一招制勝絕招。盡管大多數(shù)泄露僅包含數(shù)以千計(jì)的數(shù)據(jù)記錄，但百萬(wàn)記錄級(jí)別數(shù)據(jù)的泄露會(huì)使得代價(jià)成指數(shù)級(jí)上升。警惕性和嚴(yán)謹(jǐn)?shù)闹卫硎怯行p少以下風(fēng)險(xiǎn)因素的重要方法：以上這些是數(shù)據(jù)泄漏的主要來(lái)源，并是零信任實(shí)施時(shí)需要處理的。零信任不僅僅是技術(shù)。市面上有大量的安全技術(shù)，在明確的環(huán)境中對(duì)威脅對(duì)癥下藥。相比技術(shù)，零信任更關(guān)注的是人和流程，它需要的是齊心協(xié)力，把這些要素結(jié)合起來(lái)，通過(guò)自動(dòng)化策略達(dá)成更全面的安全。零信任并不難，但它要求安全和技術(shù)團(tuán)隊(duì)與業(yè)務(wù)方（這個(gè)文檔的重點(diǎn)）建立合作關(guān)系。這帶來(lái)了組織內(nèi)的文化轉(zhuǎn)變，可能會(huì)一時(shí)難以適應(yīng)，但當(dāng)這個(gè)關(guān)系建立完成時(shí)，零信任會(huì)變得簡(jiǎn)單許多以及更加高效。商業(yè)價(jià)值綜述綱領(lǐng)商業(yè)價(jià)值綱領(lǐng)由CSA國(guó)際云安全聯(lián)盟零信任工作組編撰，其中包括幾個(gè)可以幫助理解和傳達(dá)零信任商業(yè)價(jià)值的方法。以始為終：這個(gè)方針鼓勵(lì)人們?cè)诹阈湃芜^(guò)程的開始建立關(guān)于組織期望方向與明確的展望目標(biāo)。與商業(yè)價(jià)值相關(guān)的期望結(jié)果包括減少合規(guī)成本、事故的經(jīng)濟(jì)影響、IT和流程債務(wù)的復(fù)雜性、殘余風(fēng)險(xiǎn)，以及總體擁有成本（TCO）。泄露總會(huì)發(fā)生：100%安全這種不現(xiàn)實(shí)的目標(biāo)，轉(zhuǎn)而考慮更有安全韌性這一更容易達(dá)成的目標(biāo)。這個(gè)轉(zhuǎn)變帶來(lái)三個(gè)好處：風(fēng)險(xiǎn)控制：這是零信任中的關(guān)鍵元素。理解組織的風(fēng)險(xiǎn)偏好可以提供一個(gè)容許風(fēng)險(xiǎn)的閾值。零信任的目標(biāo)幫助機(jī)構(gòu)將內(nèi)在風(fēng)險(xiǎn)減少至可接受范圍，通過(guò)實(shí)施控制減少可能性、影響，或二者兼而有之。這可使組織變得更堅(jiān)韌以及更靈活。采用基于風(fēng)險(xiǎn)的優(yōu)先級(jí)將幫助組織理解和識(shí)別他們需要解決的差距。組織可以做個(gè)穩(wěn)妥的決策來(lái)選擇出發(fā)點(diǎn)–通常從小問(wèn)題出發(fā)是情理之中，通過(guò)快速達(dá)成短期目標(biāo)來(lái)改善安全態(tài)勢(shì)并建立零信任倡議的推動(dòng)力。當(dāng)選擇一個(gè)較小且低風(fēng)險(xiǎn)的保護(hù)面作為試點(diǎn)時(shí)，獲得和維護(hù)領(lǐng)導(dǎo)層的接納會(huì)更容易，這樣就可以利用其指標(biāo)來(lái)突出安全范式的變化并展示商業(yè)價(jià)值。傳達(dá)零信任的商業(yè)價(jià)值將有效鼓勵(lì)領(lǐng)導(dǎo)層來(lái)發(fā)布正確的指令，為成功的零信任過(guò)程樹立根基。商業(yè)價(jià)值商業(yè)價(jià)值的含義？這一章節(jié)是為了向讀者介紹普遍的核心商業(yè)概念和術(shù)語(yǔ)。提供了基礎(chǔ)詞匯和概念模型使得讀者提出更有價(jià)值的問(wèn)題，理解商業(yè)驅(qū)動(dòng)因素，構(gòu)筑一個(gè)具有商業(yè)意義的零信任應(yīng)用案例。這一章節(jié)并不是全面的商業(yè)或者金融管理介紹，因?yàn)檫@方面在網(wǎng)上已經(jīng)有許多可靠的相關(guān)資源了。除了營(yíng)利性企業(yè)之外，還有許多不同類型的組織，包括非營(yíng)利性組織、政府機(jī)構(gòu)，以及監(jiān)管機(jī)構(gòu)，它們并不是傳統(tǒng)的企業(yè)。比如一個(gè)為了監(jiān)管銀行產(chǎn)業(yè)的聯(lián)邦政府機(jī)構(gòu)就不是一個(gè)“企業(yè)”，但它仍可以從零信任中獲益。像這樣的組織，它們的商業(yè)價(jià)值就應(yīng)該是有助于實(shí)現(xiàn)其組織的任務(wù)目標(biāo)。企業(yè)運(yùn)作在財(cái)務(wù)或者績(jī)效指標(biāo)上，已經(jīng)發(fā)展出一套全面的標(biāo)準(zhǔn)來(lái)衡量這些指標(biāo)。如果你的組織是一家公開貿(mào)易的公司，就需要公開報(bào)告財(cái)務(wù)狀況。這些報(bào)告對(duì)你來(lái)說(shuō)是必讀的，因?yàn)樗鼈儗⒛闩c組織的指標(biāo)和績(jī)效聯(lián)系起來(lái)，包括面臨的戰(zhàn)略挑戰(zhàn)和機(jī)遇。盡管并非所有以下的指標(biāo)都適用于每個(gè)組織，這個(gè)列表涉及了幾個(gè)你應(yīng)該熟悉的指標(biāo)。為了了解組織的具體情況，最明智的可能是在做了一些基礎(chǔ)調(diào)查后，找財(cái)務(wù)部門一位友好的同事，問(wèn)下他們哪些財(cái)務(wù)術(shù)語(yǔ)和指標(biāo)是對(duì)你的組織最重要的。21515）不同的角色有著不同的興趣傾向。例如股東傾向于對(duì)健康的股價(jià)和/或可靠的股息感興趣。另一方面，其他利益相關(guān)方對(duì)別的指標(biāo)更為在乎，這根據(jù)他們的角色而定。4.1.2商業(yè)價(jià)值與風(fēng)險(xiǎn)企業(yè)很大程度上在乎風(fēng)險(xiǎn)。風(fēng)險(xiǎn)控制（RM）原則提出四種風(fēng)險(xiǎn)處理方式：66接受、規(guī)避、緩解和轉(zhuǎn)移3。近些年來(lái)的實(shí)踐表明了無(wú)論接受還是規(guī)避風(fēng)險(xiǎn)都不充分。我們知道風(fēng)險(xiǎn)轉(zhuǎn)移，常見(jiàn)于保險(xiǎn)，并不防止事故，而且很多時(shí)候?qū)嶋H的成本太大。風(fēng)險(xiǎn)緩解仍然是最高效的投資。緩解需要一系列的管控（技術(shù)、人員、流程）來(lái)減少風(fēng)險(xiǎn)直至可接受范圍。通常來(lái)說(shuō)，管控會(huì)花費(fèi)金錢，消耗資源，并放慢事務(wù)的進(jìn)度。由于零信任是企業(yè)的整體戰(zhàn)略，因此一個(gè)平臺(tái)和策略模型就可以為隱私、安全、合規(guī)性和第三方風(fēng)險(xiǎn)管理（TPRM）等其他領(lǐng)域奠定基礎(chǔ)。零信任架構(gòu)將在基礎(chǔ)設(shè)施技術(shù)和層級(jí)之間執(zhí)行多重控制。內(nèi)部威脅的風(fēng)險(xiǎn)對(duì)于組織來(lái)說(shuō)是最難管理的，因?yàn)樗婕坝行гL問(wèn)權(quán)限的合法用戶（例如員工、前員工、承包商或者商業(yè)伙伴），他們擁有著有關(guān)組織安全條例、數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)的內(nèi)部信息。威脅可能涉及欺詐、盜竊資產(chǎn)、盜竊知識(shí)產(chǎn)權(quán)，甚至是破壞。其通常來(lái)自內(nèi)部人員的事故涉及有效訪問(wèn)的濫用。零信任通過(guò)執(zhí)行最小權(quán)限的原則，在授權(quán)對(duì)資產(chǎn)的訪問(wèn)之前，要求正確的身份證明（認(rèn)證）和有效訪問(wèn)權(quán)（授權(quán)），以此來(lái)減少內(nèi)部威脅的可能性。它還通過(guò)約束橫向移動(dòng)來(lái)限制其影響范圍。第三方風(fēng)險(xiǎn)管理，有時(shí)被稱為供應(yīng)商風(fēng)險(xiǎn)管理或者供應(yīng)鏈管理，是評(píng)估和減輕供應(yīng)商（例如供應(yīng)商，商業(yè)伙伴和供應(yīng)鏈成員）引入的風(fēng)險(xiǎn)的實(shí)踐。這一過(guò)程通常從關(guān)系剛形成時(shí)就開始，并持續(xù)維持，包括至關(guān)系結(jié)束時(shí)。零信任戰(zhàn)略通過(guò)提供更好的可見(jiàn)性和控制來(lái)減少任何第三方安全事件的影響，并賦予供應(yīng)商最小的訪問(wèn)權(quán)限來(lái)降低這些風(fēng)險(xiǎn)。信息安全的商業(yè)價(jià)值簡(jiǎn)單來(lái)說(shuō)，信息安全是指對(duì)公司的數(shù)字資產(chǎn)、系統(tǒng)和數(shù)據(jù)的保護(hù)和保障。通過(guò)實(shí)施有效的安全措施，企業(yè)可以最小化未授權(quán)訪問(wèn)、數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，使其正常運(yùn)營(yíng)，維持客戶和合作伙伴的信任，避免因安全事件造成的潛在財(cái)務(wù)損失或者商譽(yù)減值。隨著商業(yè)和數(shù)字經(jīng)濟(jì)的普及，信息安全成為組織內(nèi)部和董事會(huì)的首要關(guān)注1717點(diǎn)。世界經(jīng)濟(jì)論壇（WEF）60%的國(guó)內(nèi)生產(chǎn)總值（GDP）是數(shù)字化的4，同時(shí)美國(guó)國(guó)家經(jīng)濟(jì)研究局（NBER）認(rèn)為企業(yè)估值主要由無(wú)形資產(chǎn)驅(qū)動(dòng)，其中包括數(shù)據(jù)和知識(shí)產(chǎn)權(quán)（IP）5。這些資產(chǎn)逐漸成為攻擊和破壞的目標(biāo)，因此必須受到妥善保護(hù)。信息安全基于三個(gè)主要概念：機(jī)密性（Confidentiality）（Integrity）和可用性（Availability），它們共同構(gòu)成了CIA三要素。安全策略，實(shí)施和安全風(fēng)險(xiǎn)的描述都基于這三個(gè)參數(shù)：如果實(shí)施得當(dāng)?shù)脑挘畔踩珣?yīng)該也可以支持企業(yè)的使命。安全性通過(guò)保護(hù)企業(yè)認(rèn)為貴重的資產(chǎn)來(lái)減少對(duì)整個(gè)企業(yè)的風(fēng)險(xiǎn)，以此來(lái)支撐企業(yè)。信息安全的成功實(shí)施有著額外好處，可以促進(jìn)對(duì)國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn)和法規(guī)的合規(guī)。遵從許多這些標(biāo)準(zhǔn)和法規(guī)（例如HIPAA、GDPR、PCIDSS和ISO27000）包括關(guān)于數(shù)據(jù)保護(hù)，正確的風(fēng)險(xiǎn)管理，限制對(duì)受保護(hù)數(shù)據(jù)和流程的訪問(wèn)，以及如何保護(hù)這些信息的定期培訓(xùn)。所有這些東西都是正確的信息安全計(jì)劃的一部分。從風(fēng)險(xiǎn)管理（RM）和合規(guī)性的角度來(lái)看，信息技術(shù)（IT）和運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)代表了相當(dāng)大的風(fēng)險(xiǎn)來(lái)源，必須通過(guò)實(shí)施技術(shù)或者流程控制來(lái)降低風(fēng)險(xiǎn)。這些控制可以是自定義，或者像遵從法規(guī)一樣通過(guò)外力來(lái)強(qiáng)加給它們。組織通常必須通過(guò)合規(guī)性報(bào)告或者審核流程來(lái)證明他們的控制是如何按照預(yù)期執(zhí)行的。零信任通過(guò)確保現(xiàn)有控制按預(yù)期進(jìn)行來(lái)提高安全性，并為組織提供進(jìn)一步加強(qiáng)這些控制的持續(xù)改進(jìn)規(guī)劃。在沒(méi)有固有信任的環(huán)境中，安全團(tuán)隊(duì)通過(guò)使用PAGE21PAGE21風(fēng)險(xiǎn)框架來(lái)監(jiān)視、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)，并從感知到的和現(xiàn)有的威脅中修復(fù)。這有助于分清輕重緩急，因?yàn)槿魏谓M織都沒(méi)有無(wú)限的資源和時(shí)間。零信任為你所有的網(wǎng)絡(luò)安全、隱私和運(yùn)營(yíng)韌性（OR）的活動(dòng)提供基礎(chǔ)。零信任不僅提高了控制效率。作為一種首要的戰(zhàn)略和架構(gòu)，零信任打破了組織內(nèi)部的壁壘，將IT、安全、應(yīng)用、架構(gòu)和商業(yè)整合在一個(gè)統(tǒng)一的構(gòu)想下，以保障資產(chǎn)符合商業(yè)目標(biāo)。為零信任投資做商業(yè)案例一般來(lái)說(shuō)，商業(yè)案例的研究輔助組織的利益相關(guān)方做出關(guān)于項(xiàng)目提案的可行性決定，并且它的使用被認(rèn)為是私營(yíng)和公共組織的標(biāo)準(zhǔn)實(shí)踐。商業(yè)案例通常是一個(gè)文檔化、結(jié)構(gòu)化的提案，準(zhǔn)備它是為了幫助組織決策者對(duì)提案的投資或者項(xiàng)目做出選擇決定。一個(gè)商業(yè)案例從商業(yè)過(guò)程表現(xiàn)、需求和/或問(wèn)題、期望收益來(lái)描述投資或者項(xiàng)目的理由與解釋。它確定了要滿足的高級(jí)需求，并提供了對(duì)提案的替代解決方案的分析（包括拒絕或者推進(jìn)每個(gè)選項(xiàng)的理由）、假設(shè)、約束、風(fēng)險(xiǎn)調(diào)整后的成本效益分析、初步收購(gòu)策略。它還可能包括財(cái)務(wù)指標(biāo)，例如投資回報(bào)率（ROI）、預(yù)計(jì)總擁有成本（TCO）或凈現(xiàn)值（NPV）等。ROINPV的可的因素，或者作為推動(dòng)商業(yè)價(jià)值的促成者。不同的組織有不同級(jí)別的形式、過(guò)程和架構(gòu)來(lái)進(jìn)行決策，并且對(duì)商業(yè)案例的內(nèi)容有著不同的期望。實(shí)踐者應(yīng)花時(shí)間去學(xué)習(xí)在組織內(nèi)部技術(shù)、戰(zhàn)略和IT投資決策是如何制定的，并遵循應(yīng)當(dāng)?shù)牧鞒毯图軜?gòu)。商業(yè)案例一個(gè)不變的方面是它必須體現(xiàn)商業(yè)價(jià)值，這是這份文檔的主要關(guān)注點(diǎn)。接下來(lái)的章節(jié)提供了零信任倡議實(shí)現(xiàn)商業(yè)價(jià)值的14種不同方式。當(dāng)你確定了適用的領(lǐng)域，你可以適當(dāng)?shù)亓炕鼈儯⒔Y(jié)合到你的組織需求的商業(yè)案例結(jié)構(gòu)中。零信任的商業(yè)價(jià)值如前文所述，零信任是一個(gè)增強(qiáng)的安全和風(fēng)險(xiǎn)管理方式，它假定身份（真人、非真人/機(jī)器），設(shè)備（個(gè)人電腦、移動(dòng)設(shè)備、物聯(lián)網(wǎng)）或者工作負(fù)載（服務(wù)器、計(jì)算實(shí)例、容器或功能）在默認(rèn)情況下是不可信的。所有的訪問(wèn)依賴于身份驗(yàn)證以及基于上下文信息的訪問(wèn)策略的評(píng)估與授權(quán)。零信任需要持續(xù)投入時(shí)間、資源和預(yù)算，但作為回報(bào)，它帶來(lái)了安全、技術(shù)和商業(yè)方面的好處?？偟膩?lái)說(shuō)，零信任通過(guò)提供以下商業(yè)價(jià)值的收益：零信任不同于之前的安全方法，它們承諾了部分或全部這些好處。具體而言，零信任方法本質(zhì)上是整體的，必須將傳統(tǒng)的分離式系統(tǒng)與IT安全基礎(chǔ)設(shè)施層級(jí)強(qiáng)制實(shí)施動(dòng)態(tài)控制。章節(jié)格式5.15.1為什么對(duì)企業(yè)重要：零信任如何幫助：對(duì)誰(shuí)重要：關(guān)注成本降低和風(fēng)險(xiǎn)管理的高管(CFO、CISO、CIO)、IT和安全團(tuán)隊(duì)以及需要安全訪問(wèn)他們?nèi)粘９ぷ髻Y源的員工為什么企業(yè)關(guān)心這個(gè)特定的話題?零信任安全措施通過(guò)什么方式達(dá)成價(jià)值?企業(yè)里的哪些角色會(huì)對(duì)這個(gè)話零信任允許組織通過(guò)標(biāo)準(zhǔn)化和簡(jiǎn)化用戶與設(shè)備訪問(wèn)來(lái)整合不同的冗余工具和技術(shù)例如用個(gè)訪問(wèn)具替換程訪問(wèn)具(例VPN)和地訪問(wèn)具(例如 ?NAC)。這意味著企業(yè)可以減少購(gòu)買、部署和維護(hù)冗余的基于邊界的安全解決方案么做、為什么?商業(yè)價(jià)值：成本節(jié)約與優(yōu)化為什么對(duì)企業(yè)重要：減少安全措施的總擁有成本（TCO），更高效地分配業(yè)務(wù)單位的資源，而不是各自為政（資本支出、運(yùn)營(yíng)支出、人員）。零信任如何幫助：減少對(duì)傳統(tǒng)安全系統(tǒng)的需求，降低安全漏洞的風(fēng)險(xiǎn)，減少恢復(fù)成本，簡(jiǎn)化安全體系結(jié)構(gòu)，自動(dòng)化提高生產(chǎn)力。對(duì)誰(shuí)重要：關(guān)注成本降低和風(fēng)險(xiǎn)管理的高管（CFO、CISO、CIO）、IT和安全團(tuán)隊(duì)以及需要安全訪問(wèn)他們?nèi)粘９ぷ髻Y源的員工。零信任允許組織通過(guò)標(biāo)準(zhǔn)化和簡(jiǎn)化用戶與設(shè)備訪問(wèn)來(lái)整合不同的冗余工具和技術(shù)，例如用單個(gè)訪問(wèn)工具替換遠(yuǎn)程訪問(wèn)工具（例如VPN）和本地訪問(wèn)工具（例如NAC）。這意味著企業(yè)可以減少購(gòu)買、部署和維護(hù)冗余的基于邊界的安全解決方案相關(guān)的成本。由于它們更新，零信任平臺(tái)傾向于使用普遍接受的最佳實(shí)踐、現(xiàn)有標(biāo)準(zhǔn)和廣泛采用的協(xié)議，這提高了系統(tǒng)的互操作性，還可能消除對(duì)定制集成的需求并減少部署工具的數(shù)量。零信任可以降低連接和寬帶成本，特別是在傳統(tǒng)企業(yè)的IT基礎(chǔ)設(shè)施中。組織可以減少或消除對(duì)MPLS和SD-WAN等昂貴的專用鏈路的需求，并依賴互聯(lián)網(wǎng)作為其公司網(wǎng)絡(luò)。這種方法消除了對(duì)邊界的依賴，允許每個(gè)用戶到每個(gè)資源的點(diǎn)對(duì)點(diǎn)訪問(wèn)，從而大幅度節(jié)省了站點(diǎn)間網(wǎng)絡(luò)或者通過(guò)數(shù)據(jù)中心回程一切的相關(guān)成本。零信任可以改進(jìn)流程，發(fā)現(xiàn)更多節(jié)約成本的機(jī)會(huì)。通過(guò)自動(dòng)執(zhí)行訪問(wèn)請(qǐng)求和審批來(lái)提高安全流程的效率，減少人工干預(yù)，從而減少管理開銷并提高生產(chǎn)力。此外，零信任簡(jiǎn)化了安全架構(gòu)，降低了管理的復(fù)雜性和開銷，以及安全漏洞的風(fēng)險(xiǎn)。通過(guò)降低安全漏洞的可能性和影響，零信任降低數(shù)據(jù)泄露的總體和單個(gè)事件的成本。它可以通過(guò)限制泄露的程序直接降低成本，從而最大限度減少損失和恢復(fù)成本。它還可以通過(guò)減少數(shù)據(jù)泄露的發(fā)生，間接降低成本。此外，零信任可以通過(guò)更嚴(yán)格和更有效的安全控制來(lái)幫助企業(yè)減少保險(xiǎn)開銷。零信任還可能更快地準(zhǔn)備和保護(hù)新的基礎(chǔ)設(shè)施，因?yàn)槠髽I(yè)可以減少在新設(shè)備上建立用戶和執(zhí)行安全策略所需的時(shí)間和精力。商業(yè)價(jià)值：運(yùn)營(yíng)韌性為什么對(duì)企業(yè)重要：運(yùn)營(yíng)韌性是在任何危險(xiǎn)造成的中斷下依然可以開展業(yè)務(wù)包括關(guān)鍵業(yè)務(wù)和核心業(yè)務(wù)功能等運(yùn)營(yíng)的能力。企業(yè)運(yùn)營(yíng)通常完全依靠IT技術(shù)和系統(tǒng)，而脆弱或不可靠的IT基礎(chǔ)架構(gòu)將會(huì)對(duì)企業(yè)產(chǎn)生重大的破壞性影響。企業(yè)運(yùn)營(yíng)的基礎(chǔ)架構(gòu)系統(tǒng)的韌性必然是關(guān)鍵重點(diǎn)。零信任如何幫助：默認(rèn)情況下，零信任架構(gòu)中的系統(tǒng)和設(shè)備彼此隔離。只有通過(guò)驗(yàn)證和授權(quán)的身份才能通信，并且僅限于授權(quán)的協(xié)議。零信任的細(xì)粒度隔離降低了攻擊者執(zhí)行偵察或橫向移動(dòng)的能力。攻擊的影響范圍越小，整個(gè)系統(tǒng)的韌性更強(qiáng)。零信任平臺(tái)還通過(guò)快速適應(yīng)和允許訪問(wèn)變化的環(huán)境（例如DR站點(diǎn)），從而改進(jìn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的準(zhǔn)備和執(zhí)行工作。對(duì)誰(shuí)重要：首席運(yùn)營(yíng)官（COO）、首席執(zhí)行官（CEO）、首席財(cái)務(wù)官（CFO）、運(yùn)營(yíng)團(tuán)隊(duì)、業(yè)務(wù)領(lǐng)導(dǎo)零信任策略應(yīng)當(dāng)基于一種由內(nèi)而外的方法，企業(yè)應(yīng)該深思熟慮地詢問(wèn)我們?cè)趯?duì)抗什么？我們?cè)诒Ｗo(hù)什么？可以根據(jù)資產(chǎn)的價(jià)值來(lái)確認(rèn)策略的優(yōu)先級(jí)，通常至少在一定程度上是根據(jù)他們交付的服務(wù)或他們支持的流程來(lái)決定的。這樣可以更好地與業(yè)務(wù)保持一致，還可以增加業(yè)務(wù)的韌性。采用零信任框架可以全面減少惡意行為者遍歷網(wǎng)絡(luò)的能力來(lái)降低風(fēng)險(xiǎn)，并通過(guò)高級(jí)隔離和授權(quán)來(lái)減少勒索軟件的影響。正確實(shí)施零信任控制可以顯著減少勒索軟件或其他漏洞利用的影響范圍。這在保護(hù)關(guān)鍵網(wǎng)絡(luò)設(shè)施免受以網(wǎng)絡(luò)為中心的攻擊風(fēng)險(xiǎn)中尤為珍貴，這些風(fēng)險(xiǎn)通常來(lái)自受害用戶和VPN連接。從運(yùn)營(yíng)的角度來(lái)看，由于其主動(dòng)性和有效的事故最小化，它降低了與業(yè)務(wù)運(yùn)營(yíng)相關(guān)的風(fēng)險(xiǎn)，并允許更精簡(jiǎn)的維護(hù)團(tuán)隊(duì)。并且，它還提供了強(qiáng)大的業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)流程，實(shí)現(xiàn)運(yùn)營(yíng)韌性。商業(yè)價(jià)值：業(yè)務(wù)敏捷為什么對(duì)企業(yè)重要：快速響應(yīng)市場(chǎng)變化和商業(yè)機(jī)會(huì)的能力非常珍貴，并可對(duì)其成功產(chǎn)生巨大影響。能使業(yè)務(wù)更加靈活的技術(shù)或方法通常非常有吸引力。零信任如何幫助：通過(guò)簡(jiǎn)化和動(dòng)態(tài)、實(shí)時(shí)的策略來(lái)增強(qiáng)安全性，同時(shí)提高生產(chǎn)力。改進(jìn)的預(yù)防措施和減少的安全維護(hù)開銷，使企業(yè)隨時(shí)準(zhǔn)備并專注于抓住商業(yè)機(jī)會(huì)。即使只是為安全團(tuán)隊(duì)騰出時(shí)間以便更好地與業(yè)務(wù)協(xié)作，也是有價(jià)值的。對(duì)誰(shuí)重要：首席執(zhí)行官（CEO）、首席流程官（CPO）、首席信息安全官（CISO）、首席技術(shù)官（CTO）、首席信息官（CIO）、首席運(yùn)營(yíng)官（COO），風(fēng)險(xiǎn)、運(yùn)營(yíng)團(tuán)隊(duì)零信任模型提供了適應(yīng)不斷變化的業(yè)務(wù)需求的靈活性。當(dāng)員工在改變組織角色時(shí)，或者當(dāng)新系統(tǒng)上線應(yīng)用市場(chǎng)機(jī)遇時(shí)，訪問(wèn)策略可以自動(dòng)調(diào)整。這使組織在不損害安全性的情況下能夠快速適應(yīng)不斷變化的業(yè)務(wù)需求。零信任模型確保職員可以在任何地方、任何設(shè)備上安全地訪問(wèn)公司資源。這通過(guò)提供對(duì)資源的安全訪問(wèn)來(lái)促進(jìn)遠(yuǎn)程工作，允許職員在保持安全標(biāo)準(zhǔn)的同時(shí)輕松訪問(wèn)完成工作所需的資源。通過(guò)對(duì)不同部門和團(tuán)隊(duì)提供資源的安全訪問(wèn)，允許員工更輕松地協(xié)助，并在不損害安全性的情況下共享資源，從而提高生產(chǎn)力。零信任通過(guò)提供統(tǒng)一的控制平面和策略模型來(lái)簡(jiǎn)化企業(yè)安全架構(gòu)的操作，從而提高系統(tǒng)管理和用戶訪問(wèn)的效率。這使得組織能夠在管理風(fēng)險(xiǎn)的同時(shí)快速行動(dòng)以追求商業(yè)機(jī)會(huì)。此外，設(shè)備狀況、惡意軟件狀態(tài)以及對(duì)安全策略的更改都會(huì)被持續(xù)監(jiān)控和驗(yàn)證，允許組織能自信而敏捷地執(zhí)行。不僅如此，零信任通過(guò)提供可應(yīng)用于任何環(huán)境的全面安全框架，加快了像云計(jì)算和移動(dòng)設(shè)備等新技術(shù)的采用。通過(guò)增強(qiáng)組織的安全態(tài)勢(shì)并最小化安全漏洞的風(fēng)險(xiǎn)，零信任可以在保持嚴(yán)格的安全協(xié)議的同時(shí)更快、更順暢地部署新的應(yīng)用和服務(wù)。商業(yè)價(jià)值：促進(jìn)合規(guī)合規(guī)要求可能是政府或行業(yè)監(jiān)管機(jī)構(gòu)強(qiáng)加給企業(yè)的，也可能是企業(yè)為了通過(guò)獲得各種認(rèn)證來(lái)提高其級(jí)別而自愿采用的。在這兩種情況下，組織都要求證明它符合合規(guī)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)通常規(guī)定了各種技術(shù)和流程控制。合規(guī)報(bào)告是記錄和證明這些控制是適當(dāng)且有效的行為。未能滿足合規(guī)要求可能會(huì)導(dǎo)致罰款，而且可能數(shù)額巨大。零信任如何幫助：零信任系統(tǒng)需要對(duì)動(dòng)態(tài)和上下文感知策略進(jìn)行積極評(píng)估。因?yàn)檫@些策略是動(dòng)態(tài)的，因此減少執(zhí)行策略所需的人工工作量。而且，由于它們可以綁定到業(yè)務(wù)流程，這些系統(tǒng)通?？梢宰詣?dòng)生成合規(guī)報(bào)告。零信任系統(tǒng)可以減少執(zhí)行控制和報(bào)告合規(guī)要求（創(chuàng)建審計(jì)文檔）的成本和工作量。它們還確保組織持續(xù)合規(guī)，而不僅僅是定期合規(guī)。對(duì)誰(shuí)重要：董事會(huì)、合規(guī)團(tuán)隊(duì)/首席合規(guī)官、治理風(fēng)險(xiǎn)合規(guī)（GRC）團(tuán)隊(duì)、首席財(cái)務(wù)官（CFO）、應(yīng)用所有者滿足和報(bào)告合規(guī)需求通常是復(fù)雜、耗時(shí)和昂貴的。零信任會(huì)在很多種方式中減少這種開銷。首先，由于零信任系統(tǒng)是基于上下文的自動(dòng)化策略，這對(duì)于它們來(lái)說(shuō)更容易實(shí)現(xiàn)并保持合規(guī)。這是因?yàn)椴呗?，通常被描述成有意義的業(yè)務(wù)術(shù)語(yǔ)，會(huì)自動(dòng)適應(yīng)身份或關(guān)聯(lián)設(shè)備的變化，來(lái)確保組織持續(xù)合規(guī)。其次，零信任系統(tǒng)的控制集通常是自動(dòng)文檔化的。當(dāng)范圍內(nèi)資產(chǎn)的策略清晰且一致時(shí)，所有流量都被加密，所有訪問(wèn)都被記錄，證據(jù)收集的負(fù)擔(dān)和時(shí)間減少，從而減少審計(jì)本身帶來(lái)的組織負(fù)擔(dān)。換而言之，零信任架構(gòu)減少了開銷和合規(guī)審計(jì)給組織帶來(lái)的“麻煩”。商業(yè)價(jià)值：維護(hù)聲譽(yù)和品牌價(jià)值為什么對(duì)企業(yè)重要：當(dāng)今世界，網(wǎng)絡(luò)威脅和數(shù)據(jù)泄露變得越來(lái)越普遍，安全已成為各種規(guī)模的企業(yè)的關(guān)鍵憂慮。數(shù)據(jù)泄漏不但會(huì)導(dǎo)致財(cái)務(wù)損失，還會(huì)導(dǎo)致聲譽(yù)受損，影響公司的品牌價(jià)值和股價(jià)。所以，企業(yè)需要采取措施來(lái)增加安全性，捍衛(wèi)自己的品牌價(jià)值。零信任如何幫助：零信任架構(gòu)將強(qiáng)化組織作為目標(biāo)，加快威脅檢測(cè)和響應(yīng)，并減少成功攻擊的影響。這些好處將通過(guò)減少網(wǎng)絡(luò)攻擊的頻率和影響來(lái)保護(hù)其聲譽(yù)和品牌價(jià)值。對(duì)誰(shuí)重要：企業(yè)品牌和聲譽(yù)的安全和保障涉及許多利益相關(guān)者，包括批準(zhǔn)預(yù)算的高管、部署安全系統(tǒng)的IT領(lǐng)導(dǎo)、確保合規(guī)的法務(wù)人員以及監(jiān)視安全協(xié)議的人力資源人員。零信任是公關(guān)消息傳遞和客戶對(duì)數(shù)據(jù)保護(hù)期望的有用參考。通過(guò)實(shí)施這些措施，企業(yè)可以保護(hù)其數(shù)據(jù)免受未授權(quán)訪問(wèn)、盜竊和其他網(wǎng)絡(luò)威脅。企業(yè)還可以投資于能夠?qū)崟r(shí)監(jiān)測(cè)和響應(yīng)威脅的安全監(jiān)控工具。這些工具可以幫助企業(yè)快速識(shí)別和響應(yīng)安全事故最小化泄漏造成的損失?？傊?，提高安全性和捍衛(wèi)品牌價(jià)值是企業(yè)的優(yōu)先任務(wù)。通過(guò)實(shí)施強(qiáng)大的零信任網(wǎng)絡(luò)安全架構(gòu)，對(duì)員工開展最佳實(shí)踐教育，投資安全監(jiān)控工具，并制定危機(jī)管理計(jì)劃，企業(yè)可以保護(hù)其數(shù)據(jù)和聲譽(yù)免受網(wǎng)絡(luò)威脅。IT風(fēng)險(xiǎn)為什么對(duì)企業(yè)重要：管理和處理IT風(fēng)險(xiǎn)來(lái)減少安全事故的影響對(duì)于各個(gè)行業(yè)的組織來(lái)說(shuō)是至關(guān)重要的，這些事故可能會(huì)嚴(yán)重影響業(yè)務(wù)運(yùn)營(yíng)、收入產(chǎn)生和商業(yè)聲譽(yù)。減少IT風(fēng)險(xiǎn)有助于保護(hù)敏感信息、保持生產(chǎn)力，確保不間斷的服務(wù)交付，并滿足合規(guī)性和監(jiān)管要求。零信任如何幫助：組織需要一種動(dòng)態(tài)和全面的方法來(lái)增強(qiáng)安全態(tài)勢(shì)并減少相關(guān)風(fēng)險(xiǎn)。零信任架構(gòu)假定不具有固有的信任，并促進(jìn)動(dòng)態(tài)的、基于風(fēng)險(xiǎn)的、強(qiáng)大的身份與訪問(wèn)控制，基于上下文和自適應(yīng)的分段、持續(xù)監(jiān)控和主動(dòng)安全措施。因此，零信任促進(jìn)了強(qiáng)大的安全態(tài)勢(shì)，保護(hù)了關(guān)鍵資產(chǎn)，防范了復(fù)雜的網(wǎng)絡(luò)威脅。適用對(duì)象：減少IT風(fēng)險(xiǎn)對(duì)于包括第三方在內(nèi)的各類組織利益相關(guān)者至關(guān)重要。業(yè)務(wù)領(lǐng)導(dǎo)負(fù)責(zé)通過(guò)風(fēng)險(xiǎn)減少措施來(lái)確保組織安全和減少IT風(fēng)險(xiǎn)。負(fù)責(zé)評(píng)估、實(shí)施、管理和監(jiān)控風(fēng)險(xiǎn)減少策略的IT和安全團(tuán)隊(duì)。處于前端的終端用戶，以及他們的意識(shí)、行動(dòng)和遵循與適應(yīng)的意愿，可以顯著影響零信任策略的采用過(guò)程。采用零信任架構(gòu)使組織通過(guò)實(shí)施嚴(yán)格的訪問(wèn)控制來(lái)降低網(wǎng)絡(luò)安全事故的可能性，并確保用戶和設(shè)備在訪問(wèn)資源前持續(xù)驗(yàn)證和授權(quán)，從而最小化未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。它還可以更好地了解和響應(yīng)潛在異常活動(dòng)，并創(chuàng)建和運(yùn)行更具韌性的網(wǎng)絡(luò)。此外，劃分網(wǎng)絡(luò)和限制橫向移動(dòng)可以最小化潛在事故的影響半徑，確保任何安全泄漏都被遏制并減輕其影響。這些降低風(fēng)險(xiǎn)的措施加強(qiáng)了組織的整體網(wǎng)絡(luò)安全態(tài)勢(shì)，提供更強(qiáng)的韌性以對(duì)抗數(shù)字領(lǐng)域中不斷進(jìn)化的威脅。商業(yè)價(jià)值：安全地采用新技術(shù)為什么對(duì)企業(yè)重要：靈活性、減少成本、與時(shí)俱進(jìn)安全地采用新技術(shù)是在不斷變化的環(huán)境和不斷增長(zhǎng)的收入中保持競(jìng)爭(zhēng)力的關(guān)鍵。零信任如何幫助：由于其靈活性，良好構(gòu)建的零信任架構(gòu)應(yīng)該能夠無(wú)需大量重建和相關(guān)成本即可集成新技術(shù)。零信任本質(zhì)上是關(guān)于使用更廣泛的上下文信息來(lái)做出訪問(wèn)決策。對(duì)誰(shuí)重要：工程師、財(cái)務(wù)、信息安全人員、產(chǎn)品所有者采用基于零信任的架構(gòu)將導(dǎo)致任何從新云、物聯(lián)網(wǎng)到人工智能之類的新技術(shù)的采用更加安全，因?yàn)榱阈湃螌Ｗ⒂诒Ｗo(hù)資源（包括基于云的資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)賬號(hào)、結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)等），而不僅僅是網(wǎng)絡(luò)段或IP地址。例如，新的基于云的服務(wù)可以很容易地合并到企業(yè)的零信任策略模型和實(shí)施點(diǎn)中，并綁定到他們的身份驗(yàn)證系統(tǒng)中。這使企業(yè)可以在不犧牲安全性或生產(chǎn)力的情況下快速使用這項(xiàng)新技術(shù)。商業(yè)價(jià)值：加速業(yè)務(wù)單位整合（并購(gòu)）為什么對(duì)企業(yè)重要：短期：由特定人員從“隨時(shí)隨地”訪問(wèn)關(guān)鍵業(yè)務(wù)系統(tǒng)，將提高并購(gòu)準(zhǔn)備效率，加速并購(gòu)執(zhí)行與整合，增加并購(gòu)成功的可能性。中期：由于標(biāo)準(zhǔn)化、重新架構(gòu)和更改IP尋址方案，收購(gòu)公司系統(tǒng)和網(wǎng)絡(luò)的集成通常是昂貴、緩慢和痛苦的。這增加了成本和時(shí)間，降低并購(gòu)活動(dòng)的價(jià)值。零信任如何幫助：為用戶和系統(tǒng)提供幾乎即時(shí)的精確訪問(wèn)，實(shí)習(xí)協(xié)助和數(shù)據(jù)交換。避免昂貴而緩慢的網(wǎng)絡(luò)集成和IP地址重新映射。為舊系統(tǒng)添加現(xiàn)代身份驗(yàn)證，在獲得的系統(tǒng)上覆蓋更強(qiáng)的安全層。對(duì)誰(shuí)重要：財(cái)務(wù)部門、戰(zhàn)略部門、主導(dǎo)收購(gòu)的業(yè)務(wù)部門企業(yè)兼并和收購(gòu)(M&A)通常對(duì)企業(yè)具有戰(zhàn)略重要性，涉及大量資金，并且通常具有很大的緊迫性。他們也經(jīng)常失敗——《哈佛商業(yè)評(píng)論》指出，70%到90%的收購(gòu)都失敗了，“整合”是主要的潛在挑戰(zhàn)。整合是一個(gè)多維度的問(wèn)題，因?yàn)閷?duì)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)的訪問(wèn)幾乎是當(dāng)今業(yè)務(wù)每一個(gè)方面的基礎(chǔ)，而且訪問(wèn)系統(tǒng)可能以非常重要的方式幫助或阻礙被收購(gòu)公司的整合。零信任可以通過(guò)兩種方式加速訪問(wèn)。首先，在短期內(nèi)，零信任系統(tǒng)將使正確的人（或系統(tǒng)）能夠精確訪問(wèn)正確數(shù)據(jù)和操作系統(tǒng)。這既應(yīng)用于收購(gòu)前的盡職調(diào)查，也應(yīng)用于即時(shí)的收購(gòu)后整合任務(wù)。關(guān)鍵人員的訪問(wèn)至關(guān)重要且時(shí)間敏感，企業(yè)必須在不損害安全性的情況下這樣做。其次，在收購(gòu)?fù)瓿珊蟮闹衅冢阈湃蜗到y(tǒng)可以快速部署一致和標(biāo)準(zhǔn)化的訪問(wèn)方法、身份、驗(yàn)證和策略實(shí)施。零信任平臺(tái)通常允許不對(duì)被收購(gòu)公司進(jìn)行完整的網(wǎng)絡(luò)改造的情況下實(shí)現(xiàn)目標(biāo)。商業(yè)價(jià)值：更好地利用現(xiàn)有投資為什么對(duì)企業(yè)重要：減少運(yùn)營(yíng)成本和現(xiàn)有投資間更好的集成，提供更好的可見(jiàn)性和對(duì)威脅的響應(yīng)。零信任如何幫助：通過(guò)將控制簡(jiǎn)化到更少的平臺(tái)，并最大程度地提高技術(shù)之間的集成，零信任可以創(chuàng)建一個(gè)簡(jiǎn)化的集成技術(shù)堆棧，具有更低的運(yùn)營(yíng)成本和更高的安全效率。對(duì)誰(shuí)重要：首席信息安全官（CISO）、首席信息官（CIO）、采購(gòu)、首席財(cái)務(wù)官（CFO）、安全運(yùn)營(yíng)由于零信任結(jié)構(gòu)利用了常用部署的安全基礎(chǔ)設(shè)施的最佳實(shí)踐，因此組織不必為了滿足需求而購(gòu)買新技術(shù)，只需要當(dāng)前使用的現(xiàn)有技術(shù)能滿足控制的需要。例如，通常可以使用現(xiàn)有的身份和訪問(wèn)平臺(tái)作為起點(diǎn)，并使用動(dòng)態(tài)觸發(fā)的多因素驗(yàn)證（MFA）和其他上下文分層，如設(shè)備運(yùn)行狀況和位置，來(lái)提供更粒度的訪問(wèn)控制。從那時(shí)開始，網(wǎng)絡(luò)基礎(chǔ)設(shè)施可能會(huì)減少，但是對(duì)于擁有傳統(tǒng)內(nèi)部工作負(fù)載的組織，可以根據(jù)要求繼續(xù)利用當(dāng)前的投資。在大多數(shù)組織中，很可能已經(jīng)有一些控制和活動(dòng)非常適合零信任策略，并且應(yīng)該擴(kuò)展以覆蓋企業(yè)內(nèi)更廣泛的范圍。通過(guò)在整體零信任策略模型中增加現(xiàn)有平臺(tái)的利用率，組織可以開始逐步淘汰一些重點(diǎn)產(chǎn)品，以支持整合，從而提高效率并降低運(yùn)營(yíng)成本。商業(yè)價(jià)值：提高可視性和分析性為什么對(duì)企業(yè)重要：改進(jìn)并增強(qiáng)數(shù)據(jù)收集，并將數(shù)據(jù)轉(zhuǎn)換為信息和知識(shí)，使企業(yè)能夠做出與風(fēng)險(xiǎn)和這些決策的成功或失敗相關(guān)的明智的安全決策。零信任如何幫助：收集和報(bào)告身份和上下文增強(qiáng)數(shù)據(jù)提供了跨風(fēng)險(xiǎn)領(lǐng)域的可見(jiàn)性，以及特定變更對(duì)整個(gè)環(huán)境的總體影響。這種可視性還允許更好地識(shí)別資源需求，以及決策可能影響的過(guò)程。對(duì)誰(shuí)重要：首席戰(zhàn)略官（CSO）、首席信息官（CIO）、首席運(yùn)營(yíng)官（COO）、首席財(cái)務(wù)官（CFO）IT、運(yùn)營(yíng)和安