©2 0 2 2 国 际 云 安 全 联 盟 大 中 华 区 版 权 所 有 1 ©2022国际云安全联盟大中华区版权所有 2CxO信托工作组官网网址： https://cloudsecurityalliance.org/research/working-groups/cxo-trust-working-group/ @2022国际云安全联盟大中华区-保留所有权利。本文档发布国际在云安全联盟大中华区官 网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展 示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内 容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e） 引用本报告内容时，请注明来源于国际云安全联盟大中华区。 ©2022国际云安全联盟大中华区版权所有 3致谢 《CISO研究报告：零信任的部署现状及未来展望（CISOPerspectivesandProgressin DeployingZeroTrust）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：陈本峰 翻译组：何国锋苏泰泉汪海 审校组：姚凯 研究协调员：潘国强李杰 感谢以下单位的支持与贡献： 启明星辰信息技术集团股份有限公司 云深互联(北京)科技有限公司 中国电信研究院安全技术研究所 英文版本编写专家 主要作者：HillaryBaron JohnYeoh 贡献者：IllenaArmstrong JoshBuker DanieleCatteddu SeanHeide AlexKaluza ClaireLehnert(design) StephenLumpe(design) JimReavis 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正! 联系邮箱[email protected]；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有 4序言 当今，数字化浪潮汹涌奔腾，各行各业都在加速推进企业数字化转型进程，云计算、大数据、 移动互联网、物联网、5G等技术广泛应用，远程办公、业务协同、分支互联等业务需求快速发展。 与前所未有的网络互联应用规模相对应的，是精准投放的高级网络攻击频发，给组织带来巨大损失， 而传统安全防护理念在层出不穷的新型网络威胁面前显得力不从心。 零信任概念于2010年首次提出,，假定入侵已经发生（而不是假定公司防火墙背后的所有内容均 是安全的），并将每个请求视为源自开放网络。无论请求源自何处，无论请求访问何种资源，都应 坚守“永不信任，始终验证”原则。这种理念的提出，为网络安全解决方案的设计提供了全新思路， 认为可有效应对新型网络威胁和先进攻击手段。业界普遍认为零信任方案可与更多数字应用场景和 安全功能结合，应用规模将持续扩大。 2021年5月，美国总统拜登发布了14028号行政令《改善国家网络安全》，要求联邦政府机构应 制定零信任架构实施计划。随后，美国联邦政府多个部门提出了一系列关于零信任的战略规划和指 南，将对零信任的关注度推上了新的高度。 但是零信任作为一种新兴的解决方案，在推广和应用过程中不可避免地会遇到一些问题，零信 任的先行实践者们在面对这些问题时也存在一些困惑，这些问题和困惑的存在阻碍了零信任方案的 广泛推广。 作为零信任的重要推动者，CSA一直专注于零信任方案的研究与创新。CSA在2014年发布了《软 件定义边界SDP标准规范1.0》，2022年发布了《软件定义边界SDP标准规范2.0》，并发布了《实战 零信任架构》、《SASE安全访问边缘白皮书》等一系列规范和报告，为零信任业界提供了重要的参 考。 为了帮助业界分析零信任研究和实践过程中遇到的问题，CSA组织了本次调研，通过广泛的意见 收集和统计，尝试揭示零信任方案落地过程中的障碍。期望通过这些分析，帮助业界找到解决问题 的方案。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有 5执行摘要 零信任理念已经存在了十多年。然而最近，对需要保护IT系统的企业来说，这个术语及 其实施方式的关注度存在显著增加。随着数字化转型的推进、疫情期间的工作方式转变， 以及美国网络安全行政命令的发布，零信任已经被认为是企业安全的首选方案。 标准开发组织（SDOs）最近启动了关于零信任的工作（例如NISTSP800-207）。同样， 其他相关机构和组织也开始发布指南、建议和基础文献。由于标准化现状相对不成熟、词 汇表和行业定义不统一、以及标榜零信任的供应商解决方案的多样性，让人们产生了困惑。 这促使CSA展开了对零信任的理解、认知和应用情况的行业调研。 本次CSA调研的目的是为了更好地理解组织机构内部的零信任策略。安全从业者们要求 评估以下方面: 零信任在组织机构中的成熟度和优先级 应用零信任的好处和驱动因素 应用零信任的挑战和障碍 支持零信任战略所需的投资 调研涉及的其他一些领域包括：零信任在组织机构中的什么位置处于优先地位、完成 相关实施的组织机构比例、最顶端的业务挑战和技术挑战。 本次分享的初步研究成果，是由包括219名CxO高管在内的，来自不同地区且组织规模 各异的823名IT和安全专业人员反馈的情况。调研结果揭示一些有趣的发现，包括: 80%的C级高管（副总裁以上）将零信任作为组织的优先事项 94%的人正在实施零信任战略 77%的人在未来12月里会增加零信任支出 对调研结果的进一步分析将使CSA能够协助针对访问控制、策略实施、零信任扩展问题 和由受访从业者处发现的其他挑战，定义一系列指南。通过本次调研及即将发布的报告， CSA希望了解CxO高管零信任战略、痛点、供应商需求、管理要求/监督、技术考虑、历史遗 留问题、应用率，以及利益相关方的参与情况。CSA致力于让CxO高管、董事会成员、员工 ©2022国际云安全联盟大中华区版权所有 6和利益相关方了解零信任的好处。 调研报告将基于2022年第1到第3季度CSA从调查反馈及访谈中收集到的认知与意见。 CSA社区的零信任研究人员、分析师和行业专家将根据收集到的数据提供进一步的观察结果 和统计相关性。 国际云安全联盟（CSA）是一个非营利性组织，其使命是广泛推广最佳实践，保障云计 算和IT技术的网络安全。CSA还向这些行业中的各种利益相关方提供关于其他计算形式的安 全问题教育。CSA的会员是一个由行业从业者、企业和专业协会组成的广泛联盟。CSA的主 要目的之一是开展调查以评估信息安全趋势。这些调查提供了组织当前关于信息安全和技 术方面的成熟度、意见、兴趣和意向等信息。 ©2022国际云安全联盟大中华区版权所有 7以下哪项行业指南最符合您的组织机构对零信任的定 义/指导方针? 零信任在您的组织机构中处于什么优先级？ ©2022国际云安全联盟大中华区版权所有 8 在零信任战略的实施过程中，你的组织机构处在什么阶 段？ 您的组织机构最初是什么时候实施零信任战略的？ ©2022国际云安全联盟大中华区版权所有 9您的组织机构是否从零信任计划中受益？ 请在以下方面评估组织机构的零信任战略的成熟度: ©2022国际云安全联盟大中华区版权所有 10您公司在哪个方面感到最脆弱？ 选出您的组织机构采用零信任的3大困难