零信任商業價值PAGE10PAGE10目錄序言 6摘要 9面向人群 9目標 9什么是零信任？ 10對零信任的理解誤區 12商業價值綜述綱領 13商業價值 14商業價值的含義？ 144.1.2商業價值與風險 15信息安全的商業價值 16為零信任投資做商業案例 18零信任的商業價值 19章節格式 20商業價值：成本節約與優化 21商業價值：運營韌性 22商業價值：業務敏捷 23商業價值：促進合規 24商業價值：維護聲譽和品牌價值 25商業價值：減少IT風險 26商業價值：安全地采用新技術 27商業價值：加速業務單位整合（并購） 27商業價值：更好地利用現有投資 28商業價值：提高可視性和分析性 29商業價值：改進用戶體驗 30商業價值：支持戰略性業務計劃 31商業價值：重塑業務流程 32商業價值：更好地滿足潛在客戶的安全需求 33傳達商業價值 34了解你的受眾 35了解你組織結構 35建立一個團隊并形成聯盟 35溝通策略 35為過程制定計劃 367.結論 36摘要零信任是一個大規模的產業趨勢，被全世界許多組織采用以及宣傳；它帶來了更好的安全性能同時減少支出，并提高商業效率以及靈活性。然而，“零信任”作為一個行業專有名詞存在被錯誤理解或者難以理解。業務領導與非安全專業人才，例如關鍵決策人、預算持有人、以及監事等，他們在各個組織零信任發展的道路上影響著第一步的成敗。這是因為，采用零信任作為一種組織戰略，從根本上講，需要在整個企業中進行支撐與改變，以及投入大量的時間、精力和金錢。所以，安全人員需要傳達零信任的理念給非技術以及非專業人員，從下到上直到董事會的成員。我們相信，信息安全產業仍未賦能從業人員可以簡潔直接地傳達零信任戰略的商業價值。這篇CSA國際云安全聯盟的指南可以彌補這一空白。面向人群該文檔主要面向人群是信息安全專家與從業者，他們希望向各個組織里的業務領導與重要參與者展示零信任帶來的價值與商業影響。該文檔還面向的人群是各個組織里的非技術、非安全方面的從業者。這份白皮書包含部分技術概念，但是也能讓非專業人群理解。目標該文檔為信息安全專家提供信息與思路，以此來有效溝通與展示為什么他們的組織應該投資零信任安全戰略。這些溝通是為了向內部參與者展示：例如非安全方面IT人員、企業規劃人員、財務與預算團隊、業務線經理、應用程序所有者、企業首席高管（CEO:首席執行官，COO:首席運營官，CFO:首席財務官）以及董事會成員。這份白皮書使得安全專家能夠向組織里的業務領導與重要參與者展示采用零信任帶來的價值與商業影響1。其次，說服組織主動投資零信任。什么是零信任？零信任是一個基于若干核心原則的網絡安全戰略，以簡單的、具有可觀的積極影響方式作用于組織的架構、方式、運營。根據美國國家安全電信咨詢委員會《零信任和可信身份管理報告》中的表述：“零信任是一個網絡安全戰略，假定沒有任何用戶和資產被隱式信任。它默認破壞已經發生或者即將發生，所以，企業范圍內的用戶不應該通過簡單的認證就允許訪問敏感信息。反而每個用戶、設備、應用以及交易必須不間斷地驗證身份。”根據美國國家標準與技術研究院（NIST）發布的《零信任建設》（SP800-207）文檔定義:“零信任（ZT）是一個術語，它是一個不斷進化的網絡安全范式的集合，從基于網絡邊界的靜態防御，到專注于用戶、資產，以及資源。零信任架構（ZTA）使用零信任理念來規劃產業和企業的基礎設施和流程。零信任假設沒有任何隱式信任賦予物理或者網絡位置（局域網或者互聯網）的資產或者用戶賬戶，或者基于資產擁有權（企業所有或者個人所有）來賦予信任。驗證和授權（訪問主體和設備）是獨立的功能，作用在與企業資源的對話建立之前。”NIST文檔還提出，零信任“不是單個架構而是一系列關于流程、系統設計和運營的指引原則，它可用作改進任意分類或者敏感等級的安全態勢。”其中還包括了7個零信任的核心原則，列出以供參考：可觀測狀態總體來說，零信任很大的程度不同于傳統的、基于信任的“城堡護城河”物理網絡邊界安全架構，因為傳統架構在云計算、遠程辦公、威脅加劇的時代下變得不再高效。老練的攻擊者越來越精于利用在現代高級的分布式企業網絡中暴露出的技術或者人力薄弱點，時常嚴重地影響網絡連接穩定性。成功的網絡攻擊基本上利用了各種方式的信任。這使得“信任”，無論是隱性的還是顯性的，這個危險的薄弱點必須被排除。在零信任中，所有的網絡數據包都是不可信的，同其他在系統中經過的數據包分別單獨對待。信任等級實質上為零，所以被稱之為零信任。值得注意的是，這個方法關注的是從數字系統中移除信任，而不是人群、關系或者文化。零信任是一個全面的網絡安全戰略，包含云/多云，內部和外部伙伴/參與者用戶（企業識別或者自帶設備）端點，私有部署以及混合系統，包括IT（信息技術），OT（運營技術）和IoT（物聯網）。零信任不是產品（盡管基于零信任的安全基礎設施可以利用各種不同的產品來實施），也不需要組織剔除更換原有的安全基礎設施。零信任驅動著新一代的信息安全的架構方法，使得資源與控制的對齊來保證最低權限的訪問，保證每個網絡數據包視作不可信，讓系統強制在流程的每一層執行“默認拒絕”模型。零信任方法是一個慎重和謹慎的戰略，指引著組織對于基礎技術的選擇和部署，包括身份、設備、網絡、應用和數據盡可能地安全。契合零信任的慎重決定反映了對于日漸增長的危險的認識，以及對更穩固和適應性強的安全態勢的需求，利用基于風險的方法來授權訪問。零信任的采用包括動態環境、嚴格的訪問控制、持續的驗證、行為監視以及嚴格的安全規章強制執行。通過慎重地采用零信任方法，組織志在通過以一個更警惕和懷疑的態度面對網絡流量和人工與非人工活動來最小化數據泄露風險和非授權訪問風險。零信任現處在被企業大量應用的早期階段，而且是美國聯邦政府新的網絡安全策略的必要部分。同樣地，我們期望持續關注如何成功在組織中采用零信任的指引。對零信任的理解誤區零信任安全是一個戰略，不是即買即用的，或者開發即可實施的。作為一個戰略，它將影響你的思維、決策、優先級和對IT與安全工程的考慮。采用這個戰略意味著您的組織架構將會升級和進化到零信任架構。應用得當的話，零信任指引著您對于技術架構的選擇和部署，包括身份、設備、網絡、應用、數據，以及交叉領域（例如可視化與分析、自動化與編排，還有治理）。零信任不是防止數據泄露的一招制勝絕招。盡管大多數泄露僅包含數以千計的數據記錄，但百萬記錄級別數據的泄露會使得代價成指數級上升。警惕性和嚴謹的治理是有效減少以下風險因素的重要方法：以上這些是數據泄漏的主要來源，并是零信任實施時需要處理的。零信任不僅僅是技術。市面上有大量的安全技術，在明確的環境中對威脅對癥下藥。相比技術，零信任更關注的是人和流程，它需要的是齊心協力，把這些要素結合起來，通過自動化策略達成更全面的安全。零信任并不難，但它要求安全和技術團隊與業務方（這個文檔的重點）建立合作關系。這帶來了組織內的文化轉變，可能會一時難以適應，但當這個關系建立完成時，零信任會變得簡單許多以及更加高效。商業價值綜述綱領商業價值綱領由CSA國際云安全聯盟零信任工作組編撰，其中包括幾個可以幫助理解和傳達零信任商業價值的方法。以始為終：這個方針鼓勵人們在零信任過程的開始建立關于組織期望方向與明確的展望目標。與商業價值相關的期望結果包括減少合規成本、事故的經濟影響、IT和流程債務的復雜性、殘余風險，以及總體擁有成本（TCO）。泄露總會發生：100%安全這種不現實的目標，轉而考慮更有安全韌性這一更容易達成的目標。這個轉變帶來三個好處：風險控制：這是零信任中的關鍵元素。理解組織的風險偏好可以提供一個容許風險的閾值。零信任的目標幫助機構將內在風險減少至可接受范圍，通過實施控制減少可能性、影響，或二者兼而有之。這可使組織變得更堅韌以及更靈活。采用基于風險的優先級將幫助組織理解和識別他們需要解決的差距。組織可以做個穩妥的決策來選擇出發點–通常從小問題出發是情理之中，通過快速達成短期目標來改善安全態勢并建立零信任倡議的推動力。當選擇一個較小且低風險的保護面作為試點時，獲得和維護領導層的接納會更容易，這樣就可以利用其指標來突出安全范式的變化并展示商業價值。傳達零信任的商業價值將有效鼓勵領導層來發布正確的指令，為成功的零信任過程樹立根基。商業價值商業價值的含義？這一章節是為了向讀者介紹普遍的核心商業概念和術語。提供了基礎詞匯和概念模型使得讀者提出更有價值的問題，理解商業驅動因素，構筑一個具有商業意義的零信任應用案例。這一章節并不是全面的商業或者金融管理介紹，因為這方面在網上已經有許多可靠的相關資源了。除了營利性企業之外，還有許多不同類型的組織，包括非營利性組織、政府機構，以及監管機構，它們并不是傳統的企業。比如一個為了監管銀行產業的聯邦政府機構就不是一個“企業”，但它仍可以從零信任中獲益。像這樣的組織，它們的商業價值就應該是有助于實現其組織的任務目標。企業運作在財務或者績效指標上，已經發展出一套全面的標準來衡量這些指標。如果你的組織是一家公開貿易的公司，就需要公開報告財務狀況。這些報告對你來說是必讀的，因為它們將你與組織的指標和績效聯系起來，包括面臨的戰略挑戰和機遇。盡管并非所有以下的指標都適用于每個組織，這個列表涉及了幾個你應該熟悉的指標。為了了解組織的具體情況，最明智的可能是在做了一些基礎調查后，找財務部門一位友好的同事，問下他們哪些財務術語和指標是對你的組織最重要的。21515）不同的角色有著不同的興趣傾向。例如股東傾向于對健康的股價和/或可靠的股息感興趣。另一方面，其他利益相關方對別的指標更為在乎，這根據他們的角色而定。4.1.2商業價值與風險企業很大程度上在乎風險。風險控制（RM）原則提出四種風險處理方式：66接受、規避、緩解和轉移3。近些年來的實踐表明了無論接受還是規避風險都不充分。我們知道風險轉移，常見于保險，并不防止事故，而且很多時候實際的成本太大。風險緩解仍然是最高效的投資。緩解需要一系列的管控（技術、人員、流程）來減少風險直至可接受范圍。通常來說，管控會花費金錢，消耗資源，并放慢事務的進度。由于零信任是企業的整體戰略，因此一個平臺和策略模型就可以為隱私、安全、合規性和第三方風險管理（TPRM）等其他領域奠定基礎。零信任架構將在基礎設施技術和層級之間執行多重控制。內部威脅的風險對于組織來說是最難管理的，因為它涉及有效訪問權限的合法用戶（例如員工、前員工、承包商或者商業伙伴），他們擁有著有關組織安全條例、數據和計算機系統的內部信息。威脅可能涉及欺詐、盜竊資產、盜竊知識產權，甚至是破壞。其通常來自內部人員的事故涉及有效訪問的濫用。零信任通過執行最小權限的原則，在授權對資產的訪問之前，要求正確的身份證明（認證）和有效訪問權（授權），以此來減少內部威脅的可能性。它還通過約束橫向移動來限制其影響范圍。第三方風險管理，有時被稱為供應商風險管理或者供應鏈管理，是評估和減輕供應商（例如供應商，商業伙伴和供應鏈成員）引入的風險的實踐。這一過程通常從關系剛形成時就開始，并持續維持，包括至關系結束時。零信任戰略通過提供更好的可見性和控制來減少任何第三方安全事件的影響，并賦予供應商最小的訪問權限來降低這些風險。信息安全的商業價值簡單來說，信息安全是指對公司的數字資產、系統和數據的保護和保障。通過實施有效的安全措施，企業可以最小化未授權訪問、數據泄露和網絡攻擊的風險，使其正常運營，維持客戶和合作伙伴的信任，避免因安全事件造成的潛在財務損失或者商譽減值。隨著商業和數字經濟的普及，信息安全成為組織內部和董事會的首要關注1717點。世界經濟論壇（WEF）60%的國內生產總值（GDP）是數字化的4，同時美國國家經濟研究局（NBER）認為企業估值主要由無形資產驅動，其中包括數據和知識產權（IP）5。這些資產逐漸成為攻擊和破壞的目標，因此必須受到妥善保護。信息安全基于三個主要概念：機密性（Confidentiality）（Integrity）和可用性（Availability），它們共同構成了CIA三要素。安全策略，實施和安全風險的描述都基于這三個參數：如果實施得當的話，信息安全應該也可以支持企業的使命。安全性通過保護企業認為貴重的資產來減少對整個企業的風險，以此來支撐企業。信息安全的成功實施有著額外好處，可以促進對國際和國內標準和法規的合規。遵從許多這些標準和法規（例如HIPAA、GDPR、PCIDSS和ISO27000）包括關于數據保護，正確的風險管理，限制對受保護數據和流程的訪問，以及如何保護這些信息的定期培訓。所有這些東西都是正確的信息安全計劃的一部分。從風險管理（RM）和合規性的角度來看，信息技術（IT）和運營技術（OT）系統代表了相當大的風險來源，必須通過實施技術或者流程控制來降低風險。這些控制可以是自定義，或者像遵從法規一樣通過外力來強加給它們。組織通常必須通過合規性報告或者審核流程來證明他們的控制是如何按照預期執行的。零信任通過確保現有控制按預期進行來提高安全性，并為組織提供進一步加強這些控制的持續改進規劃。在沒有固有信任的環境中，安全團隊通過使用PAGE21PAGE21風險框架來監視、識別、保護、檢測、響應，并從感知到的和現有的威脅中修復。這有助于分清輕重緩急，因為任何組織都沒有無限的資源和時間。零信任為你所有的網絡安全、隱私和運營韌性（OR）的活動提供基礎。零信任不僅提高了控制效率。作為一種首要的戰略和架構，零信任打破了組織內部的壁壘，將IT、安全、應用、架構和商業整合在一個統一的構想下，以保障資產符合商業目標。為零信任投資做商業案例一般來說，商業案例的研究輔助組織的利益相關方做出關于項目提案的可行性決定，并且它的使用被認為是私營和公共組織的標準實踐。商業案例通常是一個文檔化、結構化的提案，準備它是為了幫助組織決策者對提案的投資或者項目做出選擇決定。一個商業案例從商業過程表現、需求和/或問題、期望收益來描述投資或者項目的理由與解釋。它確定了要滿足的高級需求，并提供了對提案的替代解決方案的分析（包括拒絕或者推進每個選項的理由）、假設、約束、風險調整后的成本效益分析、初步收購策略。它還可能包括財務指標，例如投資回報率（ROI）、預計總擁有成本（TCO）或凈現值（NPV）等。ROINPV的可的因素，或者作為推動商業價值的促成者。不同的組織有不同級別的形式、過程和架構來進行決策，并且對商業案例的內容有著不同的期望。實踐者應花時間去學習在組織內部技術、戰略和IT投資決策是如何制定的，并遵循應當的流程和架構。商業案例一個不變的方面是它必須體現商業價值，這是這份文檔的主要關注點。接下來的章節提供了零信任倡議實現商業價值的14種不同方式。當你確定了適用的領域，你可以適當地量化它們，并結合到你的組織需求的商業案例結構中。零信任的商業價值如前文所述，零信任是一個增強的安全和風險管理方式，它假定身份（真人、非真人/機器），設備（個人電腦、移動設備、物聯網）或者工作負載（服務器、計算實例、容器或功能）在默認情況下是不可信的。所有的訪問依賴于身份驗證以及基于上下文信息的訪問策略的評估與授權。零信任需要持續投入時間、資源和預算，但作為回報，它帶來了安全、技術和商業方面的好處。總的來說，零信任通過提供以下商業價值的收益：零信任不同于之前的安全方法，它們承諾了部分或全部這些好處。具體而言，零信任方法本質上是整體的，必須將傳統的分離式系統與IT安全基礎設施層級強制實施動態控制。章節格式5.15.1為什么對企業重要：零信任如何幫助：對誰重要：關注成本降低和風險管理的高管(CFO、CISO、CIO)、IT和安全團隊以及需要安全訪問他們日常工作資源的員工為什么企業關心這個特定的話題?零信任安全措施通過什么方式達成價值?企業里的哪些角色會對這個話零信任允許組織通過標準化和簡化用戶與設備訪問來整合不同的冗余工具和技術例如用個訪問具替換程訪問具(例VPN)和地訪問具(例如 ?NAC)。這意味著企業可以減少購買、部署和維護冗余的基于邊界的安全解決方案么做、為什么?商業價值：成本節約與優化為什么對企業重要：減少安全措施的總擁有成本（TCO），更高效地分配業務單位的資源，而不是各自為政（資本支出、運營支出、人員）。零信任如何幫助：減少對傳統安全系統的需求，降低安全漏洞的風險，減少恢復成本，簡化安全體系結構，自動化提高生產力。對誰重要：關注成本降低和風險管理的高管（CFO、CISO、CIO）、IT和安全團隊以及需要安全訪問他們日常工作資源的員工。零信任允許組織通過標準化和簡化用戶與設備訪問來整合不同的冗余工具和技術，例如用單個訪問工具替換遠程訪問工具（例如VPN）和本地訪問工具（例如NAC）。這意味著企業可以減少購買、部署和維護冗余的基于邊界的安全解決方案相關的成本。由于它們更新，零信任平臺傾向于使用普遍接受的最佳實踐、現有標準和廣泛采用的協議，這提高了系統的互操作性，還可能消除對定制集成的需求并減少部署工具的數量。零信任可以降低連接和寬帶成本，特別是在傳統企業的IT基礎設施中。組織可以減少或消除對MPLS和SD-WAN等昂貴的專用鏈路的需求，并依賴互聯網作為其公司網絡。這種方法消除了對邊界的依賴，允許每個用戶到每個資源的點對點訪問，從而大幅度節省了站點間網絡或者通過數據中心回程一切的相關成本。零信任可以改進流程，發現更多節約成本的機會。通過自動執行訪問請求和審批來提高安全流程的效率，減少人工干預，從而減少管理開銷并提高生產力。此外，零信任簡化了安全架構，降低了管理的復雜性和開銷，以及安全漏洞的風險。通過降低安全漏洞的可能性和影響，零信任降低數據泄露的總體和單個事件的成本。它可以通過限制泄露的程序直接降低成本，從而最大限度減少損失和恢復成本。它還可以通過減少數據泄露的發生，間接降低成本。此外，零信任可以通過更嚴格和更有效的安全控制來幫助企業減少保險開銷。零信任還可能更快地準備和保護新的基礎設施，因為企業可以減少在新設備上建立用戶和執行安全策略所需的時間和精力。商業價值：運營韌性為什么對企業重要：運營韌性是在任何危險造成的中斷下依然可以開展業務包括關鍵業務和核心業務功能等運營的能力。企業運營通常完全依靠IT技術和系統，而脆弱或不可靠的IT基礎架構將會對企業產生重大的破壞性影響。企業運營的基礎架構系統的韌性必然是關鍵重點。零信任如何幫助：默認情況下，零信任架構中的系統和設備彼此隔離。只有通過驗證和授權的身份才能通信，并且僅限于授權的協議。零信任的細粒度隔離降低了攻擊者執行偵察或橫向移動的能力。攻擊的影響范圍越小，整個系統的韌性更強。零信任平臺還通過快速適應和允許訪問變化的環境（例如DR站點），從而改進業務連續性和災難恢復的準備和執行工作。對誰重要：首席運營官（COO）、首席執行官（CEO）、首席財務官（CFO）、運營團隊、業務領導零信任策略應當基于一種由內而外的方法，企業應該深思熟慮地詢問我們在對抗什么？我們在保護什么？可以根據資產的價值來確認策略的優先級，通常至少在一定程度上是根據他們交付的服務或他們支持的流程來決定的。這樣可以更好地與業務保持一致，還可以增加業務的韌性。采用零信任框架可以全面減少惡意行為者遍歷網絡的能力來降低風險，并通過高級隔離和授權來減少勒索軟件的影響。正確實施零信任控制可以顯著減少勒索軟件或其他漏洞利用的影響范圍。這在保護關鍵網絡設施免受以網絡為中心的攻擊風險中尤為珍貴，這些風險通常來自受害用戶和VPN連接。從運營的角度來看，由于其主動性和有效的事故最小化，它降低了與業務運營相關的風險，并允許更精簡的維護團隊。并且，它還提供了強大的業務持續性和災難恢復流程，實現運營韌性。商業價值：業務敏捷為什么對企業重要：快速響應市場變化和商業機會的能力非常珍貴，并可對其成功產生巨大影響。能使業務更加靈活的技術或方法通常非常有吸引力。零信任如何幫助：通過簡化和動態、實時的策略來增強安全性，同時提高生產力。改進的預防措施和減少的安全維護開銷，使企業隨時準備并專注于抓住商業機會。即使只是為安全團隊騰出時間以便更好地與業務協作，也是有價值的。對誰重要：首席執行官（CEO）、首席流程官（CPO）、首席信息安全官（CISO）、首席技術官（CTO）、首席信息官（CIO）、首席運營官（COO），風險、運營團隊零信任模型提供了適應不斷變化的業務需求的靈活性。當員工在改變組織角色時，或者當新系統上線應用市場機遇時，訪問策略可以自動調整。這使組織在不損害安全性的情況下能夠快速適應不斷變化的業務需求。零信任模型確保職員可以在任何地方、任何設備上安全地訪問公司資源。這通過提供對資源的安全訪問來促進遠程工作，允許職員在保持安全標準的同時輕松訪問完成工作所需的資源。通過對不同部門和團隊提供資源的安全訪問，允許員工更輕松地協助，并在不損害安全性的情況下共享資源，從而提高生產力。零信任通過提供統一的控制平面和策略模型來簡化企業安全架構的操作，從而提高系統管理和用戶訪問的效率。這使得組織能夠在管理風險的同時快速行動以追求商業機會。此外，設備狀況、惡意軟件狀態以及對安全策略的更改都會被持續監控和驗證，允許組織能自信而敏捷地執行。不僅如此，零信任通過提供可應用于任何環境的全面安全框架，加快了像云計算和移動設備等新技術的采用。通過增強組織的安全態勢并最小化安全漏洞的風險，零信任可以在保持嚴格的安全協議的同時更快、更順暢地部署新的應用和服務。商業價值：促進合規合規要求可能是政府或行業監管機構強加給企業的，也可能是企業為了通過獲得各種認證來提高其級別而自愿采用的。在這兩種情況下，組織都要求證明它符合合規標準。這些標準通常規定了各種技術和流程控制。合規報告是記錄和證明這些控制是適當且有效的行為。未能滿足合規要求可能會導致罰款，而且可能數額巨大。零信任如何幫助：零信任系統需要對動態和上下文感知策略進行積極評估。因為這些策略是動態的，因此減少執行策略所需的人工工作量。而且，由于它們可以綁定到業務流程，這些系統通常可以自動生成合規報告。零信任系統可以減少執行控制和報告合規要求（創建審計文檔）的成本和工作量。它們還確保組織持續合規，而不僅僅是定期合規。對誰重要：董事會、合規團隊/首席合規官、治理風險合規（GRC）團隊、首席財務官（CFO）、應用所有者滿足和報告合規需求通常是復雜、耗時和昂貴的。零信任會在很多種方式中減少這種開銷。首先，由于零信任系統是基于上下文的自動化策略，這對于它們來說更容易實現并保持合規。這是因為策略，通常被描述成有意義的業務術語，會自動適應身份或關聯設備的變化，來確保組織持續合規。其次，零信任系統的控制集通常是自動文檔化的。當范圍內資產的策略清晰且一致時，所有流量都被加密，所有訪問都被記錄，證據收集的負擔和時間減少，從而減少審計本身帶來的組織負擔。換而言之，零信任架構減少了開銷和合規審計給組織帶來的“麻煩”。商業價值：維護聲譽和品牌價值為什么對企業重要：當今世界，網絡威脅和數據泄露變得越來越普遍，安全已成為各種規模的企業的關鍵憂慮。數據泄漏不但會導致財務損失，還會導致聲譽受損，影響公司的品牌價值和股價。所以，企業需要采取措施來增加安全性，捍衛自己的品牌價值。零信任如何幫助：零信任架構將強化組織作為目標，加快威脅檢測和響應，并減少成功攻擊的影響。這些好處將通過減少網絡攻擊的頻率和影響來保護其聲譽和品牌價值。對誰重要：企業品牌和聲譽的安全和保障涉及許多利益相關者，包括批準預算的高管、部署安全系統的IT領導、確保合規的法務人員以及監視安全協議的人力資源人員。零信任是公關消息傳遞和客戶對數據保護期望的有用參考。通過實施這些措施，企業可以保護其數據免受未授權訪問、盜竊和其他網絡威脅。企業還可以投資于能夠實時監測和響應威脅的安全監控工具。這些工具可以幫助企業快速識別和響應安全事故最小化泄漏造成的損失。總之，提高安全性和捍衛品牌價值是企業的優先任務。通過實施強大的零信任網絡安全架構，對員工開展最佳實踐教育，投資安全監控工具，并制定危機管理計劃，企業可以保護其數據和聲譽免受網絡威脅。IT風險為什么對企業重要：管理和處理IT風險來減少安全事故的影響對于各個行業的組織來說是至關重要的，這些事故可能會嚴重影響業務運營、收入產生和商業聲譽。減少IT風險有助于保護敏感信息、保持生產力，確保不間斷的服務交付，并滿足合規性和監管要求。零信任如何幫助：組織需要一種動態和全面的方法來增強安全態勢并減少相關風險。零信任架構假定不具有固有的信任，并促進動態的、基于風險的、強大的身份與訪問控制，基于上下文和自適應的分段、持續監控和主動安全措施。因此，零信任促進了強大的安全態勢，保護了關鍵資產，防范了復雜的網絡威脅。適用對象：減少IT風險對于包括第三方在內的各類組織利益相關者至關重要。業務領導負責通過風險減少措施來確保組織安全和減少IT風險。負責評估、實施、管理和監控風險減少策略的IT和安全團隊。處于前端的終端用戶，以及他們的意識、行動和遵循與適應的意愿，可以顯著影響零信任策略的采用過程。采用零信任架構使組織通過實施嚴格的訪問控制來降低網絡安全事故的可能性，并確保用戶和設備在訪問資源前持續驗證和授權，從而最小化未授權訪問的風險。它還可以更好地了解和響應潛在異常活動，并創建和運行更具韌性的網絡。此外，劃分網絡和限制橫向移動可以最小化潛在事故的影響半徑，確保任何安全泄漏都被遏制并減輕其影響。這些降低風險的措施加強了組織的整體網絡安全態勢，提供更強的韌性以對抗數字領域中不斷進化的威脅。商業價值：安全地采用新技術為什么對企業重要：靈活性、減少成本、與時俱進安全地采用新技術是在不斷變化的環境和不斷增長的收入中保持競爭力的關鍵。零信任如何幫助：由于其靈活性，良好構建的零信任架構應該能夠無需大量重建和相關成本即可集成新技術。零信任本質上是關于使用更廣泛的上下文信息來做出訪問決策。對誰重要：工程師、財務、信息安全人員、產品所有者采用基于零信任的架構將導致任何從新云、物聯網到人工智能之類的新技術的采用更加安全，因為零信任專注于保護資源（包括基于云的資產、服務、工作流、網絡賬號、結構化與非結構化數據等），而不僅僅是網絡段或IP地址。例如，新的基于云的服務可以很容易地合并到企業的零信任策略模型和實施點中，并綁定到他們的身份驗證系統中。這使企業可以在不犧牲安全性或生產力的情況下快速使用這項新技術。商業價值：加速業務單位整合（并購）為什么對企業重要：短期：由特定人員從“隨時隨地”訪問關鍵業務系統，將提高并購準備效率，加速并購執行與整合，增加并購成功的可能性。中期：由于標準化、重新架構和更改IP尋址方案，收購公司系統和網絡的集成通常是昂貴、緩慢和痛苦的。這增加了成本和時間，降低并購活動的價值。零信任如何幫助：為用戶和系統提供幾乎即時的精確訪問，實習協助和數據交換。避免昂貴而緩慢的網絡集成和IP地址重新映射。為舊系統添加現代身份驗證，在獲得的系統上覆蓋更強的安全層。對誰重要：財務部門、戰略部門、主導收購的業務部門企業兼并和收購(M&A)通常對企業具有戰略重要性，涉及大量資金，并且通常具有很大的緊迫性。他們也經常失敗——《哈佛商業評論》指出，70%到90%的收購都失敗了，“整合”是主要的潛在挑戰。整合是一個多維度的問題，因為對數據和計算機系統的訪問幾乎是當今業務每一個方面的基礎，而且訪問系統可能以非常重要的方式幫助或阻礙被收購公司的整合。零信任可以通過兩種方式加速訪問。首先，在短期內，零信任系統將使正確的人（或系統）能夠精確訪問正確數據和操作系統。這既應用于收購前的盡職調查，也應用于即時的收購后整合任務。關鍵人員的訪問至關重要且時間敏感，企業必須在不損害安全性的情況下這樣做。其次，在收購完成后的中期，零信任系統可以快速部署一致和標準化的訪問方法、身份、驗證和策略實施。零信任平臺通常允許不對被收購公司進行完整的網絡改造的情況下實現目標。商業價值：更好地利用現有投資為什么對企業重要：減少運營成本和現有投資間更好的集成，提供更好的可見性和對威脅的響應。零信任如何幫助：通過將控制簡化到更少的平臺，并最大程度地提高技術之間的集成，零信任可以創建一個簡化的集成技術堆棧，具有更低的運營成本和更高的安全效率。對誰重要：首席信息安全官（CISO）、首席信息官（CIO）、采購、首席財務官（CFO）、安全運營由于零信任結構利用了常用部署的安全基礎設施的最佳實踐，因此組織不必為了滿足需求而購買新技術，只需要當前使用的現有技術能滿足控制的需要。例如，通常可以使用現有的身份和訪問平臺作為起點，并使用動態觸發的多因素驗證（MFA）和其他上下文分層，如設備運行狀況和位置，來提供更粒度的訪問控制。從那時開始，網絡基礎設施可能會減少，但是對于擁有傳統內部工作負載的組織，可以根據要求繼續利用當前的投資。在大多數組織中，很可能已經有一些控制和活動非常適合零信任策略，并且應該擴展以覆蓋企業內更廣泛的范圍。通過在整體零信任策略模型中增加現有平臺的利用率，組織可以開始逐步淘汰一些重點產品，以支持整合，從而提高效率并降低運營成本。商業價值：提高可視性和分析性為什么對企業重要：改進并增強數據收集，并將數據轉換為信息和知識，使企業能夠做出與風險和這些決策的成功或失敗相關的明智的安全決策。零信任如何幫助：收集和報告身份和上下文增強數據提供了跨風險領域的可見性，以及特定變更對整個環境的總體影響。這種可視性還允許更好地識別資源需求，以及決策可能影響的過程。對誰重要：首席戰略官（CSO）、首席信息官（CIO）、首席運營官（COO）、首席財務官（CFO）IT、運營和安