李雨航 李雨航：实施零信任战略给企业带来哪些收益？

李雨航，云安全联盟大中华区主席兼研究院院长，联合国工业发展组织安全专家，中国科学院云计算中心安全首席科学家/Fellow研究员，原华为首席网络安全专家，微软全球首席安全架构师，IBM全球服务首席技术架构师。

零信任已受到业界的高度关注，目前从乙方视角介绍零信任技术的内容比较多，然而零信任究竟能给甲方企业带来哪些价值与效益呢？本文依据多年零信任的实践经验，总结概括为以下几个方面：

01

管控风险

企业面临诸多风险，如政治、法律、品牌、财务、运营等，零信任战略与实施可以帮助企业降低运营风险。运营风险来源于企业所拥有的数字资产的潜在损失，零信任模式恰恰强化数字资产的发现，要求对企业的任何应用与服务等数字资产都进行识别并给予身份。零信任战略规划与架构设计会对敏感信息的攻击途径进行分析，输出数据流图使得网络的透明度大大增加，从而使得运营风险能够得到识别，企业可以采取风险管理手段进行有效的管控。零信任的永不信任始终验证思路和机制大大增加了攻击者的难度，不论是较难防的APT高级持续威胁还是内鬼管理员，因此有效地降低了总体安全风险。

02

降低成本

零信任模式将保护资源的目标聚焦到负载与数据，通过策略与控制排除不需要访问资源的用户、设备与应用，使得恶意行为受到限制，缩小被攻击面，大大降低了安全事件的数量，使得企业能够节约时间与人力资源来迅速恢复少数的安全事件。另外零信任使得目标对攻击者不可见或很难被发现，这样目标所在的系统或应用存在一些漏洞也不会被利用，企业消耗在漏洞与补丁管理的成本也大大降低。总体来讲，实施零信任的企业所降低的成本可能会足以弥补其对零信任的投入。

03

业务敏捷

零信任摈弃了静态边界防御的慢速与不方便的检查，安全不再是业务的绊脚石，业务能更快上线或更快地让用户使用到，给用户带来更好的安全体验。在以往实施了零信任解决方案的企业中，员工与合作伙伴可以在互联网上随时随地、无缝直连各种企业应用，不需要通过企业网络关卡的静态检测，提升了用户处理业务的速度与敏捷性。不少部署了零信任解决方案的先行企业首先是为了让员工们有更方便的在线工作方式，安全却成了附属奖励品。

04

安全合规

零信任的动态防御思路与新出台的重要安全法律、法规、标准的动态防御思路不谋而合，例如等保2.0、数据安全与个人信息保护法、GDPR、FedRAMP等。零信任IAM与SDP解决方案与这些条款高度吻合，架构本身已经具有多项安全控制措施满足合规条款，能够充分减少审计师的违规发现，同时，零信任网络架构使安全审计师们更容易看清网络，让合规审计工作更加容易进行，可以说零信任是满足安全合规的有效措施与手段。

05

有效控制

在实施零信任的企业中，IT部门可以获得对企业资源更有效的控制，不论资源是分布在企业内部各部门，还是在公有云、混合云，多云环境中。零信任架构本身支持企业网、云计算、物联网等多种应用场景，把网络通信限制在有身份被验证的负载中，不论零信任IAM体系是私有部署还是云中部署，它都在企业IT的掌控之下，并可以与MSG微隔离一起用来防御包括云服务商管理员在内的恶意行为。

06

改善管理

对于那些在数字化转型过程中依赖软件与应用的组织机构，零信任不仅通过可视可控使各部门的负载与应用便于被管理，而且还由于零信任能很好地支持DevOps模式，使应用部署能更好地适配业务的优先级，并减少各组织部门之间的工作摩擦。可以说，零信任是安全保障企业数字化转型、打造可持续数字化竞争力的一次最关键范式迁移，也是“安全优先”倒逼IT改革和业务创新的根本性行动。

零信任，不是没有信任，而是基于数字身份更安全地访问需要被防护的数字资源。实施零信任的目标也从来不是把企业的安全事件降为零，而是为了让企业能更好地平衡安全与业务，在数字化转型中，安全与发展双轮驱动不致掉队。