1、 2022 国际云安全联盟大中华区版权所有1 2022 国际云安全联盟大中华区版权所有2CxO信托工作组官网网址：https:/cloudsecurityalliance.org/research/working-groups/cxo-trust-working-group/2022 国际云安全联盟大中华区-保留所有权利。本文档发布国际在云安全联盟大中华区官网(http:/www.c-)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权

2、声明或其他声明；（e）引用本报告内容时，请注明来源于国际云安全联盟大中华区。2022 国际云安全联盟大中华区版权所有3致谢致谢CISO 研究报告：零信任的部署现状及未来展望（CISO Perspectives and Progress inDeploying Zero Trust）由 CSA 工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家组中文版翻译专家组（排名不分先后）：组长：组长：陈本峰翻译组：翻译组：何国锋苏泰泉汪 海审校组：审校组：姚凯研究协调员：研究协调员：潘国强李杰感谢以下单位的支持与贡献：感谢以下单位的支持与贡献：启明星辰信息技术集团股份有限公司云深互联(北

3、京)科技有限公司中国电信研究院安全技术研究所英文版本编写专家英文版本编写专家主要作者：Hillary BaronJohn Yeoh贡献者：Illena ArmstrongJosh BukerDaniele CattedduSean HeideAlex KaluzaClaire Lehnert(design)Stephen Lumpe(design)Jim Reavis在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正!联系邮箱researchc-；国际云安全联盟CSA公众号。2022 国际云安全联盟大中华区版权所有4序言序言当今，数字化浪潮汹涌奔腾，各行各业都在加速

4、推进企业数字化转型进程，云计算、大数据、移动互联网、物联网、5G 等技术广泛应用，远程办公、业务协同、分支互联等业务需求快速发展。与前所未有的网络互联应用规模相对应的，是精准投放的高级网络攻击频发，给组织带来巨大损失，而传统安全防护理念在层出不穷的新型网络威胁面前显得力不从心。零信任概念于2010年首次提出,，假定入侵已经发生（而不是假定公司防火墙背后的所有内容均是安全的），并将每个请求视为源自开放网络。无论请求源自何处，无论请求访问何种资源，都应坚守“永不信任，始终验证”原则。这种理念的提出，为网络安全解决方案的设计提供了全新思路，认为可有效应对新型网络威胁和先进攻击手段。业界普遍认为零信任

5、方案可与更多数字应用场景和安全功能结合，应用规模将持续扩大。2021年5月，美国总统拜登发布了14028号行政令改善国家网络安全，要求联邦政府机构应制定零信任架构实施计划。随后，美国联邦政府多个部门提出了一系列关于零信任的战略规划和指南，将对零信任的关注度推上了新的高度。但是零信任作为一种新兴的解决方案，在推广和应用过程中不可避免地会遇到一些问题，零信任的先行实践者们在面对这些问题时也存在一些困惑，这些问题和困惑的存在阻碍了零信任方案的广泛推广。作为零信任的重要推动者，CSA一直专注于零信任方案的研究与创新。CSA在2014年发布了软件定义边界SDP标准规范1.0，2022年发布了软件定义边界

6、SDP标准规范2.0，并发布了实战零信任架构、SASE安全访问边缘白皮书等一系列规范和报告，为零信任业界提供了重要的参考。为了帮助业界分析零信任研究和实践过程中遇到的问题，CSA组织了本次调研，通过广泛的意见收集和统计，尝试揭示零信任方案落地过程中的障碍。期望通过这些分析，帮助业界找到解决问题的方案。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 国际云安全联盟大中华区版权所有5执行摘要执行摘要零信任理念已经存在了十多年。然而最近，对需要保护IT系统的企业来说，这个术语及其实施方式的关注度存在显著增加。随着数字化转型的推进、疫情期间的工作方式转变，以及美国网络安全行政命令的发