1、 2022 國際云安全聯盟大中華區版權所有1 2022 國際云安全聯盟大中華區版權所有2CxO信托工作組官網網址：https:/cloudsecurityalliance.org/research/working-groups/cxo-trust-working-group/2022 國際云安全聯盟大中華區-保留所有權利。本文檔發布國際在云安全聯盟大中華區官網(http:/www.c-)，您可在滿足如下要求的情況下在您本人計算機上下載、存儲、展示、查看、打印此文檔：（a）本文只可作個人信息獲取，不可用作商業用途；(b)本文內容不得篡改;(c)不得對本文進行轉發散布;(d)不得刪除文中商標、版權

2、聲明或其他聲明；（e）引用本報告內容時，請注明來源于國際云安全聯盟大中華區。2022 國際云安全聯盟大中華區版權所有3致謝致謝CISO 研究報告：零信任的部署現狀及未來展望（CISO Perspectives and Progress inDeploying Zero Trust）由 CSA 工作組專家編寫，CSA 大中華區秘書處組織翻譯并審校。中文版翻譯專家組中文版翻譯專家組（排名不分先后）：組長：組長：陳本峰翻譯組：翻譯組：何國鋒蘇泰泉汪 海審校組：審校組：姚凱研究協調員：研究協調員：潘國強李杰感謝以下單位的支持與貢獻：感謝以下單位的支持與貢獻：啟明星辰信息技術集團股份有限公司云深互聯(北

3、京)科技有限公司中國電信研究院安全技術研究所英文版本編寫專家英文版本編寫專家主要作者：Hillary BaronJohn Yeoh貢獻者：Illena ArmstrongJosh BukerDaniele CattedduSean HeideAlex KaluzaClaire Lehnert(design)Stephen Lumpe(design)Jim Reavis在此感謝以上專家。如譯文有不妥當之處，敬請讀者聯系CSA GCR秘書處給與雅正!聯系郵箱researchc-；國際云安全聯盟CSA公眾號。2022 國際云安全聯盟大中華區版權所有4序言序言當今，數字化浪潮洶涌奔騰，各行各業都在加速

4、推進企業數字化轉型進程，云計算、大數據、移動互聯網、物聯網、5G 等技術廣泛應用，遠程辦公、業務協同、分支互聯等業務需求快速發展。與前所未有的網絡互聯應用規模相對應的，是精準投放的高級網絡攻擊頻發，給組織帶來巨大損失，而傳統安全防護理念在層出不窮的新型網絡威脅面前顯得力不從心。零信任概念于2010年首次提出,，假定入侵已經發生（而不是假定公司防火墻背后的所有內容均是安全的），并將每個請求視為源自開放網絡。無論請求源自何處，無論請求訪問何種資源，都應堅守“永不信任，始終驗證”原則。這種理念的提出，為網絡安全解決方案的設計提供了全新思路，認為可有效應對新型網絡威脅和先進攻擊手段。業界普遍認為零信任

5、方案可與更多數字應用場景和安全功能結合，應用規模將持續擴大。2021年5月，美國總統拜登發布了14028號行政令改善國家網絡安全，要求聯邦政府機構應制定零信任架構實施計劃。隨后，美國聯邦政府多個部門提出了一系列關于零信任的戰略規劃和指南，將對零信任的關注度推上了新的高度。但是零信任作為一種新興的解決方案，在推廣和應用過程中不可避免地會遇到一些問題，零信任的先行實踐者們在面對這些問題時也存在一些困惑，這些問題和困惑的存在阻礙了零信任方案的廣泛推廣。作為零信任的重要推動者，CSA一直專注于零信任方案的研究與創新。CSA在2014年發布了軟件定義邊界SDP標準規范1.0，2022年發布了軟件定義邊界

6、SDP標準規范2.0，并發布了實戰零信任架構、SASE安全訪問邊緣白皮書等一系列規范和報告，為零信任業界提供了重要的參考。為了幫助業界分析零信任研究和實踐過程中遇到的問題，CSA組織了本次調研，通過廣泛的意見收集和統計，嘗試揭示零信任方案落地過程中的障礙。期望通過這些分析，幫助業界找到解決問題的方案。李雨航 Yale LiCSA 大中華區主席兼研究院院長 2022 國際云安全聯盟大中華區版權所有5執行摘要執行摘要零信任理念已經存在了十多年。然而最近，對需要保護IT系統的企業來說，這個術語及其實施方式的關注度存在顯著增加。隨著數字化轉型的推進、疫情期間的工作方式轉變，以及美國網絡安全行政命令的發

7、布，零信任已經被認為是企業安全的首選方案。標準開發組織（SDOs）最近啟動了關于零信任的工作（例如NIST SP 800-207）。同樣，其他相關機構和組織也開始發布指南、建議和基礎文獻。由于標準化現狀相對不成熟、詞匯表和行業定義不統一、以及標榜零信任的供應商解決方案的多樣性，讓人們產生了困惑。這促使CSA展開了對零信任的理解、認知和應用情況的行業調研。本次CSA調研的目的是為了更好地理解組織機構內部的零信任策略。安全從業者們要求評估以下方面:零信任在組織機構中的成熟度和優先級 應用零信任的好處和驅動因素 應用零信任的挑戰和障礙 支持零信任戰略所需的投資調研涉及的其他一些領域包括：零信任在組織

8、機構中的什么位置處于優先地位、完成相關實施的組織機構比例、最頂端的業務挑戰和技術挑戰。本次分享的初步研究成果，是由包括219名CxO高管在內的，來自不同地區且組織規模各異的823名IT和安全專業人員反饋的情況。調研結果揭示一些有趣的發現，包括:80%的C級高管（副總裁以上）將零信任作為組織的優先事項 94%的人正在實施零信任戰略 77%的人在未來12月里會增加零信任支出對調研結果的進一步分析將使CSA能夠協助針對訪問控制、策略實施、零信任擴展問題和由受訪從業者處發現的其他挑戰，定義一系列指南。通過本次調研及即將發布的報告，CSA希望了解CxO高管零信任戰略、痛點、供應商需求、管理要求/監督、技

9、術考慮、歷史遺留問題、應用率，以及利益相關方的參與情況。CSA致力于讓CxO高管、董事會成員、員工 2022 國際云安全聯盟大中華區版權所有6和利益相關方了解零信任的好處。調研報告將基于2022年第1到第3季度CSA從調查反饋及訪談中收集到的認知與意見。CSA社區的零信任研究人員、分析師和行業專家將根據收集到的數據提供進一步的觀察結果和統計相關性。國際云安全聯盟（CSA）是一個非營利性組織，其使命是廣泛推廣最佳實踐，保障云計算和IT技術的網絡安全。CSA還向這些行業中的各種利益相關方提供關于其他計算形式的安全問題教育。CSA的會員是一個由行業從業者、企業和專業協會組成的廣泛聯盟。CSA的主要目

10、的之一是開展調查以評估信息安全趨勢。這些調查提供了組織當前關于信息安全和技術方面的成熟度、意見、興趣和意向等信息。2022 國際云安全聯盟大中華區版權所有7以下哪項行業指南最符合您的組織機構對零信任的定義/指導方針?以下哪項行業指南最符合您的組織機構對零信任的定義/指導方針?零信任在您的組織機構中處于什么優先級？零信任在您的組織機構中處于什么優先級？2022 國際云安全聯盟大中華區版權所有8在零信任戰略的實施過程中，你的組織機構處在什么階段？在零信任戰略的實施過程中，你的組織機構處在什么階段？您的組織機構最初是什么時候實施零信任戰略的？您的組織機構最初是什么時候實施零信任戰略的？2022 國際

11、云安全聯盟大中華區版權所有9您的組織機構是否從零信任計劃中受益？您的組織機構是否從零信任計劃中受益？請在以下方面評估組織機構的零信任戰略的成熟度:請在以下方面評估組織機構的零信任戰略的成熟度:2022 國際云安全聯盟大中華區版權所有10您公司在哪個方面感到最脆弱？您公司在哪個方面感到最脆弱？選出您的組織機構采用零信任的3大困難選出您的組織機構采用零信任的3大困難 2022 國際云安全聯盟大中華區版權所有11您的組織機構采用零信任計劃的主要驅動因素是什么？（最多選擇3個）您的組織機構采用零信任計劃的主要驅動因素是什么？（最多選擇3個）2022 國際云安全聯盟大中華區版權所有12您的組織機構采用零

12、信任戰略的最大業務障礙是什么？（最多選3項）您的組織機構采用零信任戰略的最大業務障礙是什么？（最多選3項）2022 國際云安全聯盟大中華區版權所有13您的組織機構采用零信任戰略的最大技術障礙是什么？（最多選3項）您的組織機構采用零信任戰略的最大技術障礙是什么？（最多選3項）2022 國際云安全聯盟大中華區版權所有14請描述您的組織機構未來12個月內在零信任計劃上的投資情況請描述您的組織機構未來12個月內在零信任計劃上的投資情況對于零信任計劃，您的組織機構在以下類型的解決方案上各投入了多少資金？對于零信任計劃，您的組織機構在以下類型的解決方案上各投入了多少資金？2022 國際云安全聯盟大中華區版

13、權所有15您的組織機構采用了哪些類型的身份服務？（多選）您的組織機構采用了哪些類型的身份服務？（多選）2022 國際云安全聯盟大中華區版權所有16您的組織機構采用了哪些類型的網絡解決方案？（多選）您的組織機構采用了哪些類型的網絡解決方案？（多選）2022 國際云安全聯盟大中華區版權所有17您的組織機構中實施零信任會涉及哪些業務部門？（多選）您的組織機構中實施零信任會涉及哪些業務部門？（多選）2022 國際云安全聯盟大中華區版權所有18您的組織機構中哪些高管負責或支持零信任的實施部署？（多選）您的組織機構中哪些高管負責或支持零信任的實施部署？（多選）2022 國際云安全聯盟大中華區版權所有19您個人位于哪個區域？您個人位于哪個區域？您的組織機構屬于以下哪個行業？您的組織機構屬于以下哪個行業？2022 國際云安全聯盟大中華區版權所有20您的組織機構有多少員工？您的組織機構有多少員工？您在組織中屬于下面哪個角色？您在組織中屬于下面哪個角色？