Gartner发布零信任安全计划实施的战略路线图：最高优先级的8个事项、中优先级的7个事项和较低优先级的8个事项

采用强大的零信任策略是现代信息安全计划的关键。网络安全领导者必须使策略与业务目标保持一致，并专注于降低风险，以确保在零信任策略的背景下做出程序、政策或战术决策。

主要发现

• 零信任是一种战略性业务方法，可推动以项目为导向的战术行动。应将其作为一项长期计划，通过了解关键资产和用户动态并实施符合更广泛的访问和安全目标的政策来应对特定风险。

• 优先考虑基于项目的策略并不加区分地应用零信任原则会导致架构复杂化——导致运营和财务成本不断上升，而没有明确的组织理由或与不断变化的优先事项不一致。

• 零信任要求持续进行战略调整和增强，以有效管理明确访问的动态格局，这种格局由组织不断变化的优先事项以及所遇到的威胁和风险所驱动。

建议

• 通过优先制定保护高价值资产的战略计划和解决可能受到最大损害影响的用例，通过组织风险缓解措施推动零信任决策。

• 在对环境进行战术变更之前，请确保拟议的修改符合组织的长期访问安全目标，并有效应对零信任缓解的威胁，例如限制横向移动流量和隔离资产而不会产生过多的复杂性。

• 通过定期审查和评估零信任策略的相关性和有效性，建立持续评估零信任策略的流程。定期进行评估和审计，以确保符合组织的安全需求和目标，并根据需要调整或停用策略，以保持最佳安全态势。

介绍

零信任概念是组织采用的一种重要安全方法，用于降低与网络、应用程序和相关数据相关的访问风险。然而，关于这一主题仍然存在相当大的困惑，其应用因行业和地区的感知效用和区域建议而异。这经常被供应商营销所掩盖，供应商营销往往承诺很高的期望，但往往带来次优结果。

安全领导者需要了解，零信任是一种通过减少隐性信任来减轻组织风险的战略方法。它试图解决与开放架构的漏洞相关的问题，这些漏洞本质上是信任账户和服务，威胁行为者可以利用这些问题。零信任策略必须从高管层面发起，并整合到所有部门和团队中。其目的是保护知识产权、数据和组织的品牌，它不是一项以产品或技术为中心的活动，而是一种由组织的总体目标和优先事项驱动的方法。

Gartner 在 2024 年零信任采用状况调查中发现，约 63% 的受访者曾尝试或部分尝试零信任计划，约 35% 的受访者报告其计划失败，对其组织产生了不利影响。Gartner还通过调查发现，在缺乏战略性和可衡量计划的最终用户中，零信任计划失败的例子很多。缺乏与业务一致的战略计划导致治理无效、沟通不畅、风险管理不善、预算分配极少、组织安全目标执行不力以及有限资源使用效率低下。以下因素加剧了这种情况：

• 无法根据业务增长的规模来定义和衡量政策，并且难以应对不断变化的环境和风险状况下的政策修改。

• 将零信任方法应用于独特环境所面临的挑战，例如传统信息技术和网络物理系统 (CPS)，其中包括物联网 (IoT)、运营技术和工业控制系统 (ICS)。

• 人员不足和缺乏高技能人员来适应新技术的引入和细粒度的访问策略的管理。

• 资金不足以投资或升级技术，并将其纳入更强大的控制框架。

• 非 IT 部门和最终用户对组织变革的抵制。

• 缺乏身份的“单一信任来源”或缺乏联合能力和用户身份之间的整合。

• 缺乏可靠的资产和应用程序清单，无法根据组织价值和敏感度对资产进行优先排序。

• 阻碍立即采用现代身份验证和策略管理方案的技术债务。

Gartner 客户经常询问零信任的概念，希望了解其基本原理。随着我们进入 2025年及以后，客户已经不再只是询问“零信任是什么？”的初始阶段。他们现在正在积极寻求更深入地了解超越零信任理论方面所涉及的过程。他们的重点已转移到学习如何有效实施符合其组织目标的全面零信任策略。

这不仅涉及掌握核心原则，还涉及了解成功将零信任集成到现有安全框架中所需的实际步骤和最佳实践。一些组织正在采用这种方法，并寻求如何在其运营的各个方面有效实施零信任策略的指导和步骤。这表明人们正转向更具体、更细致地询问零信任业务策略，转而青睐供应商驱动的技术。

零信任策略必须适应组织的垂直行业、组织规模和增长，并随着每个组织运营模式中高价值资产格局的变化而变化。零信任旨在缓解的具体风险包括：

• 横向网络流量移动：零信任通过将资源划分为更小的区域或逐个主机来最大限度地减少横向移动，适用于本地和云中。

• 数据泄露：零信任通过保护高价值资产（而不仅仅是入口点，无论是在本地还是在云中）来降低数据泄露的风险。

• 账户接管：零信任通过要求多种形式的身份验证、授权和验证来确保账户用户的合法性，从而减轻账户接管攻击的风险。

• 内部威胁：零信任通过最大限度地减少任何具有网络访问权限的人员的隐式访问和信任来防止内部威胁，适用于本地和云中。

Gartner 建议采取一种战略方法，将安全与组织的特定关注点和目标相结合。这对于所有机构都至关重要，无论是私人、商业还是公共实体——无论其组织结构的复杂程度或其信息技术基础设施的复杂性如何。

组织目标、宗旨和决策是实现零信任所期望和必要的变革背后的驱动力，并且应始终以上述特定风险的风险管理和风险缓解为基础。推动成功的零信任计划向前发展的路径分为五个主要步骤：

• 组织思维的转变：将零信任与组织的目标相结合，强调与其风险的具体相关联系。

• 有效沟通：与 IT 和非 IT 利益相关者合作，明确表达零信任可以实现灵活的访问控制，从而带来更好的用户体验，因为访问可以适应用户和设备，而不是适应静态访问控制。

• 组织战略演习或计划：规划可以通过零信任原则减轻哪些组织风险。

• 架构规划：将框架或成熟度模型映射到零信任原则

• 适应性战术变革：根据所选框架或成熟度模型为流程、程序、战术或技术变革做好准备。

零信任架构 (ZTA)的实施是一个过程，不应被视为对组织现有基础设施和流程的完全替代。组织应首先制定战略并选择适当的战术框架。然后，他们应该定义用例并正确确定零信任计划所需的范围和工作量。这包括制定沟通计划，并在必要时制定 RACI 矩阵。

一旦确定了零信任计划的范围，就应该对当前流程、程序和技术能力进行评估，以确定实现目标所需的差距——所有这些都要在实施任何战术变革之前进行（见图 1）。

图 1：零信任战略路线图

未来状态

零信任心态

安全领导者必须关注零信任对于其组织的意义。这将导致组织以政策、程序和技术修改或增加的形式发生变化。为了实现这一预期结果，安全领导者必须首先了解零信任“是什么”以及零信任“不是什么” ，并量化企业希望采用零信任策略的原因。安全团队必须确定哪些威胁对组织最有价值的资产构成最大风险，并将零信任原则与组织的目标相结合，以最大限度地降低这些风险。

安全团队热衷于采用零信任；但是，其实施应支持业务目标并应对特定威胁。为实现这一点，他们必须评估组织内部的威胁，并将零信任原则与组织目标相结合，以有效缓解这些风险。以下是 Gartner 的建议。在采用任何战术变化之前，应建立并传达这些建议作为战略的一部分给组织（见图 2）。

沟通什么是零信任

Gartner 调查显示，许多安全领导者都难以向组织解释零信任。从本质上讲，零信任是一个代表组织文化和流程根本转变的计划，涵盖与访问相关的程序、政策和实践。零信任的主要目标是有效解决组织在运营中遇到的特定风险（如前所述），特别是由于过度和不必要的访问权限而导致的未经授权的系统连接。

Gartner 将零信任定义为：

零信任是一种消除隐性信任的安全模型，而是专注于对显式访问和信任级别的持续评估。这种评估基于身份和上下文，并采用可适应的安全基础设施来优化组织针对特定风险的安全态势。

解释一下，零信任旨在深入了解环境中不必要的访问领域，组织必须通过访问风险管理的视角来评估其系统、人员和供应链。通过这种评估，组织可以识别和分类组织面临的环境风险，将其传达给所有关键利益相关者，并制定缓解这些风险的战略计划。这发生在修改任何架构或引入、修改和实施任何技术之前。通过传达深思熟虑的方法，安全领导者可以确保以有效支持其整体零信任对象的方式实施战术变革，同时最大限度地减少不必要的复杂性和管理。

图 2：零信任高管思维

企业为何采用零信任

从历史上看，组织安全策略通常采用“护城河和堡垒”方法，专注于建立强大的边界防御，而较少关注最重要资产附近的安全措施。这种模式使组织认为网络内的实体是安全的，受到旨在阻止威胁行为者的强大边界控制的保护。这种方法的弱点是攻击者利用了这样的假设：强大的边界足以保护企业。

因此，许多组织甚至忽视了建立基本的流量控制来限制横向移动。攻击者瞄准这一漏洞，并试图通过其他方式（例如漏洞利用或网络钓鱼活动）在组织内建立立足点。一旦进入内部，他们就会利用最低限度的横向流量控制，寻找更多漏洞，并尝试提升权限作为恶意软件攻击的一部分，试图破坏尽可能多的资产。

保护企业的员工、数据和品牌长期以来一直是组织的基本关注点。然而，在追求这一目标的过程中，行业中充斥着“零信任”等流行语，这些流行语往往掩盖了它们想要传达的真正本质和目的。不幸的是，这些流行语已被用作营销工具或销售缩写，导致其原意和起源被扭曲。

这种营销炒作会分散注意力，使企业难以选择正确的方法和技术。由此产生的混乱可能会导致董事会做出草率的决定，妨碍高管制定周密战略的能力，并妨碍安全领导者和从业人员做出明智的选择。

安全领导者在组织内制定强大的零信任安全策略方面发挥着至关重要的作用，确保对运营的干扰最小，同时保持最佳的安全风险缓解水平。要踏上这一旅程，利益相关者和安全领导者必须首先问一个基本问题：

企业为何希望踏上建立零信任的征程？

了解潜在动机是规划拟议变更并以合理方式证明其合理性的关键。安全领导者必须牢牢掌握组织的独特环境以及他们受托保护的方面。对于一些组织而言，监管要求将成为主要推动力，而其他组织则将重点关注保护关键服务和基础设施。

此外，一些企业将致力于摆脱传统的安全方法，因为这些方法不足以在现代环境中保护他们的环境。有了这种理解，他们可以有效地理解零信任对他们的组织意味着什么，不意味着什么，为制定将业务对象与安全要求相结合的合理策略奠定基础。实现这一目标的常见方法是设想理想的未来状态并将其与当前状态进行比较。以下部分将进一步详细解释此过程（见图 3）。

图 3：零信任现状与未来状态

构建零信任策略的安全领导者应该为不可避免的新政策、程序、架构修改或技术变革做好准备。这条路径还将涉及实施更严格的访问控制、删除不必要的访问权限，并需要对最终用户和非 IT 利益相关者进行支持性教育。

为了有效地引导这一过程，安全领导者必须首先了解零信任对其组织意味着什么。然后，他们应该专注于定义他们想要实现的未来状态。为了实现这一点，安全领导者必须明确概述业务目标。

零信任策略

有效的零信任计划需要制定可靠的业务支持策略，该策略定义了零信任对每个组织的意义。这种自我评估练习对于每个组织都是独一无二的，并且基于组织结构、规模、行业类型、团队结构、人员和文化、系统架构、数据敏感性以及组织的整体风险偏好。组织应该使用战略目标来回答“为什么”，这可以作为概述高层次零信任目标的口号。

每个组织和垂直行业都有自己的增长、可扩展性、弹性和风险缓解战略计划。因此，没有两个组织的风险偏好是相同的。每个组织都需要定义特定于其运营模式的业务风险，这意味着并非每个组织都会在其整个环境中实现相同的未来状态目标。

安全领导者需要明确地向企业传达，零信任之旅应该首先评估组织的过度风险和威胁模型，然后确定零信任可以在哪些方面帮助他们降低风险和应对某些威胁。

每个组织必须：

• 选择风险优化对机构意味着什么以及在零信任策略上投资多少，同时不要忽视整个网络安全计划的其余部分。

• 平衡员工用户体验 (UX) 和生产力，提供适当的访问权限和最少的摩擦，以减轻隐性访问的风险，同时保持用户生产力。

• 避免对零信任控制和系统进行过度投资和/或引入过于复杂的政策、程序和流程，从而对组织生产力产生负面影响，从而使组织变得过于复杂。

• 尽量减少对功能关键或敏感领域的投资不足，因为如果访问策略仍然粗粒度且几乎没有自适应控制，这可能会产生虚假的安全感。虽然最初的投资不足可能是第一步战术步骤，但它提供的风险缓解作用微乎其微。重新审视这些投资至关重要，因为它们不太可能完全实现实施零信任的预期效益（见表 1）。

实施零信任计划的最终状态将导致政策变化、程序变化、架构变化和技术变化的组合，这些变化都取决于如何为特定组织定义零信任。表 1 提供了基于 CISA 成熟度模型的理想零信任结果指导。

表1 ：零信任策略的未来状态

未来状态	描述
身份	在整个组织内进行自我评估，以确定谁需要访问什么以及出于什么目的。这可能是用户或机器或服务帐户。将机器和人类身份明确地分组到角色中。旨在实现以身份为中心的安全架构，具有强大而成熟的身份访问管理控制。这些应该与动态、自适应和连续的身份验证机制、针对用户活动的改进的可视性和行为分析功能、与内部 IAM、IGA 和 HR 平台的自动化和编排集成相结合。它们还应包括通用身份联合和同步、用于身份生命周期管理的强大治理能力、策略交付和企业范围的执行、MFA 和无密码身份验证的广泛采用。
设备	在整个组织内进行自我评估，以建立用于内部和供应链访问的端点资产清单。旨在通过 UEM 改进威胁防护、设备可见性和端点行为分析、入职和注册自动化、与自适应访问策略实施点集成、端点身份和信任验证、端点安全态势评估和自主 TDR。此外，还关注端点强化、基于风险信号的端点访问控制、围绕 IoT/OT 和 CPS 基础设施建立的控制、增强的端点加密工具和以端点为中心的威胁情报集成。
网络	在整个组织范围内进行自我评估，以对本地和云网络中的网络资产进行分区、分段和隔离。旨在实现软件定义网络原则、网络宏观和微观分段、远程访问的零信任网络访问、网络可视性和行为监控、默认流量加密和基于风险信号的自适应访问控制。此外，还包括针对分支机构或 IoT/OT 环境的安全边缘计算、网络弹性和自我修复功能、集成网络威胁情报、上下文感知流量引导、分散式安全实施、人工智能驱动的异常检测和响应、不可变的网络配置和简化的合规性审计。
工作负载和应用程序	在整个组织范围内进行自我评估，以确定哪些系统和数据一旦受到入侵，将导致业务无法正常运作、无法运行、对利润产生负面影响、损害组织的品牌或严重影响供应链。旨在隔离、分段和混淆关键和高价值工作负载，采用云原生安全方法，考虑微服务的服务网格，保护 API 通信，部署动态和上下文感知访问控制。此外，优先考虑高价值资产的工作负载微分段，为 DevOps 管道引入零信任，按照应用程序使用的最小特权原则运行，为本地和云环境中的工作负载引入不变性，并对应用程序数据使用增强加密。还应考虑对工作负载进行 AI 驱动的威胁检测，保护容器化的云原生工作负载，通过工作负载保护引入应用程序行为监控，隔离和分段未集成到新的零信任架构中的旧版应用程序。引入应用程序的合规性自动化，执行工作负载健康和态势验证，构建持续的应用程序风险评估平台，在 DevOps 中建立隐私保护应用程序设计，并引入安全策略的动态扩展以应对未来的业务变化。
数据	在整个组织范围内进行自我评估，以确保数据始终受到保护，仅供授权实体访问，并监控威胁—无论位置或使用情况如何。旨在实现数据分类和上下文感知（例如敏感性和机密性），为静态和动态数据构建以数据为中心的安全性，在应用程序中部署基于角色的细粒度访问控制，并执行持续的数据风险评估以防泄露。滥用或异常访问，随处加密并管理密钥，引入动态数据屏蔽，构建安全的数据协作以实现共享目的，数据治理和合规自动化以实现监管一致性，并为工作负载构建不可变的数据存储将内部威胁保护扩展到数据存储，敏感数据的标记化，自动化数据审计和报告。此外，引入基于风险信号的自适应数据访问，将数据使用与人工智能驱动的洞察相结合以实现模式识别，不可变的安全数据备份，并通过在存储或共享期间自动编辑来最大限度地减少数据泄露。

来源：Gartner（2025 年 3 月）

限制零信任的范围

缩小零信任计划中的计划或项目范围对于在实际合理的时间范围内实现零信任态势至关重要。组织通过在初始阶段整合过多的系统、应用程序、用例或数据集，或通过提出过于复杂和细致的策略集，定义过于广泛的未来目标状态。他们将面临可扩展性和成本挑战，以及延长的项目时间表。这种方法危及在指定时间内成功完成零信任计划，可能会阻碍实现所需的安全态势。

Gartner 客户的反馈表明，尝试同时部署多个供应商标榜的“零信任”技术，当扩展到众多用例、应用程序和系统时，可能会变得难以承受。这些包括远程访问、宏分段、微分段、身份访问管理、特权访问管理、监控工具和基于代理的技术。

由于引入了过于复杂和过于细致的政策，而这些政策与组织的结果驱动指标不符（请参阅下文的“结果驱动指标”部分），这一挑战变得更加严峻。这些政策过分关注风险最小的用例，从而增加了支持和运营的运营费用，并创造了一个难以管理的环境。

Gartner 建议安全领导者采取一种策略，根据工作职能和角色将组织的应用程序、系统、数据和用户分为不同的组。例如，可以按某些常见属性对用户进行分组以简化访问管理，而可以使用一组简明的描述性标签对应用程序和系统进行分类。这种方法在粒度和简单性之间取得了平衡，确保方法仍然易于管理。

限制范围旨在将组织的努力集中在零信任计划上，这些计划在短期内优先考虑组织内的高风险和高影响用例。这简化了零信任方法，允许为高优先级目标状态设置切合实际的时间表，同时在稍后阶段解决仍然必要但优先级较低的用例。通过专注于短期内的关键事项并遵守定义的项目时间表，该策略极大地有助于在零信任计划的延长生命周期内建立和实现所需的目标状态（请参阅后面的部分，确定高价值系统和应用程序）。

制定零信任策略

建立治理机制，引领零信任之路

高管领导需要明确定义零信任计划，在保护业务的同时促进业务增长。首先，高管领导层要求创建零信任卓越中心 (ZTCE) 和零信任咨询委员会 (ZTAC)。ZTCE是一个集中式企业架构功能，充当指导委员会并为业务提供指导。它领导、管理和推动业务成功实现预期的业务成果，并实现预期的 ZT 目标，从而实现目标。

ZTCE的作用是帮助组织实现零信任，而不是自己执行零信任实施。ZTAC 是ZTCE的咨询机构，提供有关零信任策略、政策、需求和影响的反馈。零信任安全实践社区 ( ZTCSP)是一群业务和 IT 技术的安全倡导者，他们在社区内推广零信任原则。

ZTCE、ZTAC 和 ZTCS 的规模和组成将根据组织的规模和复杂性进行量身定制。它们确保每个实体都拥有适当的资源，以有效支持组织独特的网络安全需求和战略目标（见图 4）。

• 推荐的零信任卓越中心 (ZTCoE) 参与者：

o   首席信息安全官 (CISO)：提供战略领导并确保零信任计划与组织的整体安全战略和业务目标保持一致

o   零信任架构师：设计并监督零信任框架的实施，确保安全策略集成到 IT 基础设施的所有层

o   网络安全工程师：专注于保护网络架构、实施微分段以及确保安全访问控制到位

o   身份和访问管理 (IAM) 专家：管理用户身份和访问权限，确保执行最小特权原则并确保身份验证机制健全

o   安全运营中心 (SOC) 分析师：监控并响应安全事件，利用零信任原则实时检测和缓解威胁

o   数据保护官：确保数据安全和隐私措施符合监管要求，并确保敏感数据在零信任框架内得到充分保护。

o   DevSecOps 工程师：将安全实践集成到软件开发生命周期中，确保应用程序的开发遵循零信任原则。

此外，在治理流程的早期定义角色和职责将有助于确定覆盖范围内的差距。它还将提高清晰度，改善沟通，问责制并获得利益相关者的认可。利用 Gartner 的工具：网络安全计划 RASCI 矩阵开始协助开展此活动。

图 4：零信任卓越中心

制定“一指禅”策略

创建简洁的一页战略文档对于明确概述业务目标和通过零信任原则应对网络风险至关重要。这种精简的格式增强了利益相关者的沟通，协调了战略愿景，并强调了零信任在网络安全中的作用。它可作为重要参考，指导决策并促进安全意识和主动风险管理。

该一页纸策略有三个重点领域（见图5）。

• 我们是谁：

o   创建一个简短的愿景声明并描述您的长期目标。

o   列出您的业务目标。如前所述，与利益相关者合作明确定义这些目标和目的，确保零信任计划与总体业务战略保持一致。

• 我们面临的风险：本节概述了业务目标面临的最大网络安全风险。这些风险可能会阻碍企业实现其业务目标。尽可能使用从风险评估、风险登记册和业务影响分析报告中收集的数据来概述风险。注意：风险不需要与相应的业务目标直接相关（例如，单一风险可能会对多个目标产生负面影响）。

• 零信任原则：除非您打算使用不同的原则集，否则无需更改本节。安全领导者在规划组织实施零信任架构的短期和长期目标时，应以零信任核心原则为指导，这一点很重要。

图 5：页面上的零信任策略

Map Zero -将核心原则托付给框架

组织应将零信任原则映射到公认的框架中，以表明其对网络安全的承诺、支持业务目标并降低风险。这种一致性可减少漏洞、增强弹性并确保法规遵从性，从而为利益相关者营造安全的环境。这将是 ZTCo E开展的一项活动。

在图 6 的示例中，选择了CISA零信任模型来为零信任计划提供结构。五个零信任核心原则将覆盖框架/模型，并指导支持跨以下五个支柱的计划的团队：身份、设备、网络、应用程序和工作负载以及数据。

图 6：将零信任原则映射到框架

将战术与战略联系起来

安全领导者必须阐明需要关注的具体技术和功能领域，以充分实现零信任架构的优势。在图7中，CISA 的支柱和高级功能用于表示此信息。

图 7：战术到战略

零信任作为业务推动因素、目标、风险和指标

定义业务目标

为了在组织内实现并建立强大的零信任计划，安全领导层应调整安全目标以支持优先的组织目标、里程碑和活动。应使用具体、可衡量、可实现、相关和有时限 (SMART) 框架来设计目标。安全领导者必须定义 SMART 目标并开发可衡量的结果。如果没有一种衡量形式，安全领导者将难以表达零信任的价值，并被迫证明零信任如何更好地与目标保持一致，从而在非 IT 组织领导者中造成困惑。这可能会极大地影响如何将资金分配给零信任计划（见图 8）。

图 8：零信任目标

在指导领导者定义目标的原则中，推进零信任最重要的一点是能够定义风险并建立准确衡量风险缓解变化的流程。同样重要的是能够在团队内有效地传达这些变化，并根据其关键性和对组织目标的直接影响确定工作的优先顺序。这三个关键要素是推动零信任计划成功的关键。

定义风险

尽可能使用从风险评估、风险登记册和业务影响分析报告中收集的数据来全面概述这些风险。寻找风险，例如介绍中提到的风险，这些风险是可能阻止企业实现其目标的对抗机会。这种方法可确保已识别的风险（例如横向移动、账户接管、内部威胁和数据泄露）有据可查且有确凿的证据，从而促进更明智的决策和战略规划。

可衡量的指标

为了衡量零信任及其后续实施的成功程度，安全和风险管理领导者应使用结果驱动指标 (ODM) 来衡量他们的零信任计划，因为这些指标将安全工作与业务目标直接联系起来。关注进度遵守情况、成本纪律和控制有效性至关重要。定期定义和重新审视 ODM 将有助于衡量风险缓解的有效性。

这种方法提供了价值和影响的明确证据，突出了进一步投资和资源分配的机会。重点关注减少违规事件、提高合规率和提高运营效率等成果。此外，识别特定风险，例如横向移动、数据泄露、账户接管和内部威胁，这些风险对于推动价值至关重要，组织可以更好地证明投资的合理性并推动持续改进。

这确保了安全措施成为业务成功的战略推动因素（见图9 ）。通过不断验证用户身份和设备完整性，并实施严格的访问控制，ZT 可以最大限度地减少未经授权的访问并保护敏感数据。这种方法降低了发生代价高昂的安全事件的可能性，从而维护了客户和利益相关者的信任。

沟通和优先排序成功的零信任实施需要全面的团队参与和优先排序，而这一切都由 ZTCoE 内部推动。让关键利益相关者（包括业务主管、IT 主管和数据所有者）参与进来，可确保目标与数据治理等更广泛的政策保持一致。创建反馈循环可鼓励认同，允许纠正方向，并为优先排序工作提供平台。进行全面的风险评估有助于识别关键资产和潜在漏洞，从而指导资源分配。

有效沟通至关重要；安全领导者应尽早与利益相关者接触，使用针对不同受众的清晰、无术语的信息。定期更新和培训计划可促进协作并确保所有利益相关者了解自己的角色，从而促进成功采用零信任框架（见图 9）。

图 9：ZT ODM

当前状态

零信任战略举措

战略举措是安全领导者在进行程序、流程和技术变更之前应采取的可行步骤。虽然这些步骤不是强制性的，但它们可以大大增强战略与组织计划实施的预期战术变化之间的一致性，以实现预期结果。

大多数组织将这些步骤纳入其更广泛的网络安全战略，以实现整体风险降低。数据治理、身份访问管理(IAM)、开发安全运营 (DevSecOps)、安全运营 (SecOps) 和工作场所战略等策略通常是独立实施的，以解决隐私和法规遵从性等问题。零信任策略会影响这些领域，并依赖于数据分类和治理等活动，以确定访问控制的优先级。这些学科通常具有独立的、有时甚至相互冲突的目标。

这些战略举措还有助于建立零信任的生命周期方法，创建可重复的流程来识别未来零信任用例。组织是动态实体，会随着时间的推移而成长和变化，因此零信任流程、政策和技术将需要适应组织内不断变化的格局。因此，强烈建议安全领导者遵循步骤，形成整个零信任计划中重要且关键的程序步骤。

识别和编目高价值系统和应用程序

IT 产品和服务目录代表了 IT 的面貌，安全领导者应该全面了解整个组织部署的所有高价值系统、应用程序和资产。如果构建得当，系统目录矩阵可充当强大的自助服务工具，使组织能够跟踪所有系统并使其与组织需求保持一致。然而，许多安全领导者都在努力在严格的时间限制内实施零信任策略——通常对所有应用程序和服务的信息有限，并且对组织最有价值的东西只有大致的了解。

期望任何安全领导者在实施零信任战术工作之前停止整个零信任规划过程以开发全面的应用程序和服务目录是不现实的。但是，依靠现有文档或与旅程的其余部分同时执行此任务可以为组织提供在规划过程准备过程中先前确定的内容的历史记录。安全领导者现在应该评估每项服务对组织的价值，以及在整个零信任旅程中计划和执行的变更。

虽然编目不是整个过程中必不可少的一步，但我们强烈建议您这样做，并且可以在最初推出一项战术计划以在最高价值资产周围部署零信任时借助技术来完成。这提供了以下好处：

• 记录应用程序和系统状况，用于历史跟踪和进度目的，以显示在哪里识别了服务风险以及采取了哪些措施来改善安全态势

• 为所有其他可视为未来零信任工作一部分的应用程序和服务构建一套可重复的制衡机制

• 识别并按价值最高到最低的顺序排列资产

• 确定应在何处进行实时自适应上下文检查

• 与结果驱动指标保持一致

在此并行过程中，鼓励 IT、应用程序和软件工程领导者与安全利益相关者合作，对所有应用程序、系统和基础设施进行有针对性的审查。这为可包含在目录矩阵中的系统和应用程序提供了更多背景信息。

按照上文的建议，以尽量减少工作量为目标，完成这些步骤。首先关注有限范围的应用程序和服务，优先考虑最重要和价值最高的目标。根据组织选择的框架或成熟度模型，将它们组织成矩阵。确定依赖关系的程度和范围，并考虑任何灾难恢复或业务连续性计划。如果时间允许，继续处理中低价值资产（请参阅上文将战略与战术联系起来的部分中的工作负载、应用程序和数据支柱）。基本矩阵应包括以下信息：

• 对组织的价值

o   高/中/低：使用基本分层结构将应用程序分类为高价值到低价值的组织资产

• 关键性

o   生产/开发：将资产细分为对组织的重要性

o   公开/私有：将资产标记为公开资产或内部私有资产

• 敏感度

o   PCI、PII ：概述哪些资产可能包含对组织而言敏感的数据或信息

o   关键控制：如果资产是关键控制，则确定此控制如果受到损害可能产生的影响

如果时间允许，可以扩展该矩阵以添加更详细的信息，例如：

• 应用程序/系统名称

• 申请的商业原因和理由

• 应用/系统分类：内部、B2B、B2C、供应链

• 应用程序所有者：[姓名]

• 数据所有者（如果与应用程序所有者不同）

• 应用程序/系统敏感度：机密，仅供内部使用，FIUO 公开

• 数据分类或敏感度 — 如果不同

• 对组织的关键性：高/中/低

• 托管位置：云（IaaS/PaaS/SaaS）、本地）

• 技术堆栈和系统类型：基于Web 、遗留系统、IoT、CPS、数据库

• 系统依赖项、IdP 存储、系统间通信、支持或补充工具

为需要访问权限的人员或内容制定用例

身份和识别是零信任之旅的基石和关键举措。安全领导者需要与身份、网络、数据、应用程序和端点领域的其他领导者合作，构建一个清晰的矩阵。这将衡量在要访问的应用程序或系统的目标组范围内，谁需要访问什么以及出于什么目的。用例矩阵考虑了人类和非人类身份的所有身份和角色、使用的源设备和各种访问方法，并将其记录到目录注册表中。

该用例矩阵也与目标应用程序组同时开发，并与应用程序和系统目录（参见先前的应用程序分类）配对，以确定整个组织中谁或什么需要访问各种应用程序和系统。

用例矩阵通常分为以下主要类别，并根据您打算部署零信任控制的应用程序范围进行构建。

• 最终用户身份目录

o   内部用户身份；本地和远程

o   承包商用户身份；本地和远程

o   第三方身份

o   供应链访问

• 工作负载身份目录

o   建立物理、虚拟、基于云的系统和工作负载身份，作为与其他系统或工作负载的连接源

o   系统到系统访问要求

如果时间允许，矩阵可以扩展为更详细的信息，例如：

• 身份类型（内部、承包商、第三方、服务账户）

• 身份角色：业务定义的角色或功能，可以是基于角色的访问控制（RBAC）、基于应用程序的访问控制（ABAC）或基于策略的访问控制（PBAC）。

• 身份来源：IdP

• 所需应用程序访问权限：需要访问权限的应用程序名称

• 端点类型（笔记本电脑、台式机、移动设备、物联网、CPS、工作负载）

• 工作负载区域（安全区域、Vnet、VPC、容器）

• 访问方法要求（网络、远程）

• 允许访问地理位置

• 访问权限要求

• 背景和卫生检查要求

o   MFA ：多因素身份验证

o   PAM ：特权访问管理

o   EDR ：端点检测和响应

o   证书

o   带外验证：非技术程序和流程验证

• 持续自适应信任检查：卫生检查项目列表，根据实时故障检查确定立即修改访问权限

图10提供了零信任方法的高层概述：

图 10：高级零信任方法

使用现有登记册进行风险评分和缓解

为了有效地在组织内传达零信任工作的价值和进展，安全领导者需要一个指标来传达零信任如何减轻组织内的风险。风险评分通常是一项独立于零信任计划的战略活动，在编目过程中对安全领导者来说很有价值，因为它有助于衡量和传达进展和成功。大多数组织都拥有风险登记册，这是企业风险管理方法的一个组成部分。利用这些现有的组织风险登记册将缓解工作与应用程序和用例目录保持一致。

利用这些系统来传达风险在哪里以及如何通过流程或程序的变化和零信任技术的实施来减轻风险。这使非 IT 领导层能够量化这些变化如何增强组织的安全态势。鼓励安全领导者首先对目标资产组（通常是高价值资产）执行此操作，然后随着时间的推移进行迭代。

此步骤的目标是：

• 使用现有的风险管理系统来识别组织内高价值资产面临的最大风险

• 为与应用程序和用户目录相关的已识别风险定义可衡量的分数

• 让组织意识到零信任工作应该从何处开始，并限制范围

• 通过持续的零信任缓解措施，展示并传达应用程序和用例风险的可衡量变化

定义安全能力的当前战术状态

通过采用明确定义的框架来确定组织重点领域的优先级，并实施具有支持风险评分的零信任安全模型，安全领导者可以区分当前的战术状态和期望的未来状态。这可以识别现有架构中的潜在差距。

安全团队应该对有关工具、流程和程序的现有战术状态进行彻底分析，并将其与拟议的未来状态进行比较。这种评估对于确定当前保护高价值资产的机制至关重要，从而有助于增强访问和策略粒度。

此阶段的一个关键部分是确定可以保留哪些现有投资以减轻技术债务成本，并了解组织内哪些技术缺乏实现零信任的成熟度。利用前面讨论过的零信任成熟度模型将有助于确定可能需要关注的技术，如“将零信任核心原则映射到框架”中所述。

这些策略包括数据治理和安全策略，这些策略经常被单独处理，并包含隐私和法规遵从性等问题。零信任策略会影响这些领域，并创建对数据分类和治理等活动的依赖关系，以优先考虑访问控制。相关学科，如 DevSecOps、IAM、合规性和安全运营，通常具有不同的、偶尔相互冲突的目标（见图11 和表 2 ）。

图 11：零信任策略接触点

表2 ：缺乏零信任态势的现状

当前状态	描述
身份	身份对于有效实施零信任原则至关重要，是需要重点关注的第一大支柱。缺乏强大的身份验证方法（例如弱密码策略），身份的入职和离职自动化和编排不足，这些都未集成到组织治理中，无法跨系统进行管理和监控。孤立的身份存储不统一、不整合、不同步。使用多种不同且重叠的身份验证方法或工具。身份权限不可见，缺乏对过度权限的洞察。访问决策是静态的，在访问之前缺乏背景信息。特权访问管理不足，无法保护具有提升权限的帐户。身份和行为活动的可见性有限，与第三方身份的集成不佳，控制有限，身份生命周期管理分散，过度依赖静态的基于角色的访问控制，这可能不符合组织需求。本地存储中无人管理和无人监控的影子身份，所有系统和应用程序中的 MFA 实施不一致，缺乏凭证卫生，缺乏支持现代身份验证标准的现代化。
设备	在构建零信任框架时，设备卫生至关重要——尤其是在缺乏设备清单和可见性的情况下。非托管设备访问高价值和关键资源，端点态势评估不足，不存在设备身份验证，仅依赖用户身份验证，缺少设备加密。政策实施和合规性监控不一致。供应链访问的执行控制最少。设备卫生和访问权限之间缺乏关联。缺乏对设备威胁防护的实时监控和基于端点行为的自动动态访问控制；依赖时间点上下文检查而不是实时上下文监控，端到端监控和实时威胁检测最少。补丁管理和软件更新不佳，过度依赖旧设备，缺乏设备分段和分区。配置管理不佳，没有针对不合规设备的补救工作流程，对 IoT/OT 和 CPS 设备没有任何保护，也没有设备生命周期管理和退役流程。
网络	主要目标是识别和最小化攻击面，并防止跨不同网络类型的未经授权的访问，特别是在流量模式普遍缺乏可见性的情况下。通过宏观和微观分段解决扁平网络架构问题。分散网络中的网络访问策略不一致。基于边界的安全模型薄弱，网络流量加密不足，网络身份验证不充分，缺乏网络行为分析，过度依赖传统网络基础设施和工具（尤其是在云端）。访问工作负载时未实施动态访问控制，云网络安全控制有限，维持使用传统 VPN 服务而不是使用 ZTNA 服务，缺乏安全的 DNS 服务，网络冗余和弹性不足。未隔离高价值和高风险设备，极少使用或不使用自动化，缺乏网络和身份系统之间的集成，IoT/OT 安全性不一致，缺乏战略性放置的蜜罐以及有限的事件响应能力。
工作量和应用程序	主要目标是确保对高价值资产的访问安全并保护正在运行的资产；缺乏对工作负载的可见性至关重要。考虑应用程序层的工作负载访问控制不一致、应用程序身份验证机制薄弱、本地和云环境中的应用程序细分不足。API 安全性差、容器化工作负载的安全性不足、缺乏对正在使用的数据加密、补丁管理不一致或管道开发不安全、工作负载内缺乏运行时威胁检测。过度依赖外围安全、不遵守安全编码实践、工作负载身份管理和权限不足、缺乏应用程序层加密、缺乏 DevSecOps 集成、没有上下文感知的应用程序访问、云环境和工作负载权限配置错误。缺乏应用程序日志的日志关联、应用程序安全控制缺乏可扩展性、对遗留应用程序的保护不足以及无服务器工作负载和环境没有安全性。
数据	目标是通过解决不同托管环境中数据访问的可见性问题，确保敏感信息在整个生命周期内的安全。考虑不一致的数据分类、无法加密静态或传输中的数据、缺乏对应用程序或网络上数据访问的控制、没有实时数据活动监控、管理、保护和使用数据的数据治理不善。对使用中的数据（如侧信道漏洞）的保护不足、数据丢失预防不足且没有强制执行数据分类的机制。没有数据访问上下文感知、数据加密密钥管理薄弱或不一致、过度依赖基于边界的数据安全防御、对影子 IT 和影子数据没有可见性。例如监控未经批准的设备对数据的访问、由于数据通过不安全的渠道共享，缺乏安全协作。没有数据屏蔽或标记化、数据审计跟踪不足、数据安全与应用程序集成不佳（如通过 API 公开）、对监管要求的遵守有限、没有安全的数据删除策略以及对多云环境中的数据保护不足。

来源：Gartner（2025 年 3 月）

差距分析和相互依赖性

零信任策略的正式化是改进政策、程序和相关技术控制的驱动力，也是改进的主要机会。通过将范围限制在必要的范围内并确保采取平衡的方法，组织可以修改这些对零信任协调影响最大的特定领域。然而，Gartner 客户在尝试构建和部署有效的零信任策略和战术计划时仍然面临挑战，许多客户表示，这些是目前存在的最重大障碍：

框架主要支柱缺乏问责制

这对有效实施零信任提出了重大挑战，尤其是在大型和高度结构化的组织中。确保身份、设备、网络、应用程序和数据等关键支柱内的问责制和责任制对于防止与这些领域相关的漏洞至关重要。重要的是要认识到，一些利益相关者，特别是在“数据”等领域，可能不是IT或安全团队的一部分，但他们对于理解和传达零信任如何影响他们的职责至关重要。

他们的意见对于制定政策和程序变化至关重要。建立有效的治理和 RACI 矩阵对于防止这一差距至关重要，如果不尽早解决这一差距，可能会导致发现其他重大差距。所有负责任的利益相关者都应向安全组织内的 ZTCoE团队报告。该团队与支持团队一起，可以确保对零信任政策、程序和技术的任何潜在更改都适合减轻已识别的风险。

最终用户和关键利益相关者不愿改变

各种规模的组织在定义访问策略和变更管理工作流时都会遇到挑战，尤其是在零信任架构等专注于检测和缓解过度特权的程序中。执行严格的最低特权访问策略的团队与 VIP 最终用户（例如 C 级高管或拥有高特权用户帐户的用户）之间经常会出现紧张关系。这些最终用户习惯于默认允许访问，而不是需要明确许可的访问。

组织不愿意投资或升级与零信任策略相一致的技术

如果不将网络安全视为商业投资，那么构建采用零信任的强有力商业案例可能会很困难。如果不在预期业务影响的背景下讨论网络安全风险偏好，也不开发 ODM 来展示增强零信任安全控制的优势，企业领导者可能会推迟或拒绝零信任项目。他们可能会选择将资金分配给其他在商业方面能带来更明显回报的计划。

用户身份缺乏本地和云系统之间的联合和同步功能

用户和工作负载通常根据他们所需的特定工作或服务功能维护多个帐户。组织继续努力管理用户和机器身份的生命周期，从入职到退休，并确定什么应该作为所有帐户信息和上下文验证的权威来源。拥有完善的身份生命周期流程以及支持技术对于零信任战术计划的成功至关重要。需要实施这些流程才能实现帐户转换、添加、修改和删除。然而，许多组织仍然发现这一复杂但必不可少的要求具有挑战性。

未能维护可靠的资产清单或按敏感度对资产进行优先排序

如前所述，期望任何组织在实施零信任策略之前完全开发资产清单都是不现实的。但是，如果在实施零信任策略的同时忽视构建资产清单，则在初始部署后会给组织带来重大挑战。没有结合零信任策略维护资产清单的组织通常会发现，在变革、增长或收购期间，越来越难以评估零信任工作的成功程度，也难以确定资产政策变更的优先顺序。

如今，许多安全团队仍然依赖不可靠或范围有限的配置管理数据库 (CMDB) 实施，并辅以来自其他单点解决方案（例如微分段工具、漏洞扫描器、端点管理解决方案、IoT/OT/CPS 管理平台和其他资产可见性来源）的数据。如果不保持这种能力，组织将无法为零信任计划建立参考点，并且难以确定用户、设备和工作负载所需的稳健策略。

技术债务和技术差距

许多组织没有意识到，支持零信任策略所需的大部分技术可能已经存在于他们的环境中。忽视对现有安全堆栈进行差距分析的组织通常会忽略哪些组件可以继续支持该策略，哪些技术阻碍了现代身份验证和策略管理系统的立即采用，从而需要进行现代化。

遗留基础设施（例如第 3/4 层数据包过滤防火墙、缺乏云可扩展性的数据包标记系统、一次性 RADIUS 身份验证解决方案或过时的基于隧道的远程访问 VPN 解决方案）可能与零信任的持续和自适应访问控制方法相冲突。由于其架构和使用年限，它们还可能提供过多的访问权限。识别和替换此类技术可能会带来额外的挑战，因为较新的技术必须与某些遗留系统集成和共存，这可能会导致开销和对技术问题来源的混淆（例如，端口阻止与应用程序级控制或系统之间定义不明确的零信任策略）。

零信任规划应涵盖解决当传统技术无法集成到零信任架构中时会发生什么问题的范围。这可能需要采用传统的分段方法来适应这些技术的局限性，将它们置于自己的分段控制区中，并在入口和出口处实施严格的访问控制。

努力将“零信任”原则应用于所有系统和用户场景

Gartner 继续注意到，许多组织认为他们必须将零信任原则应用于其整个生态系统中的每个系统和用例。这种期望是不切实际的，Gartner 发现大多数尝试这种方法的组织都未能实现其目标。这些组织通常没有确定高价值目标系统或定义访问要求的用例。他们也没有通过专注于涉及一系列技术和政策改进的较小战术项目来限制项目范围，以满足迫切需求。

因此，他们使环境变得过于复杂，给用户和管理员带来不必要的摩擦，增加了运营管理负担，并难以传达所实现的价值或风险缓解。因此，非 IT 高级领导者经常质疑这种价值和方法。许多最初采用这种策略的客户不得不改变方向，实施一种更结构化、更系统化的方法，正如本研究报告中所述。

迁移计划

执行零信任路线图计划

重要提示：随着组织踏上零信任之旅，必须认识到许多组织已经部署了可以作为这种网络安全范式催化剂的基础技术。这些现有技术（例如多因素身份验证、身份和访问管理系统以及网络分段工具）为过渡到零信任架构提供了强大的起点。

全面的多年路线图对于协调零信任计划、使其与业务重点保持一致以及提供跨框架支柱的可见性至关重要。该战略计划确保采用统一的方法，优化资源分配并支持长期安全目标。

更高优先级

以下是各组织的首要任务：

• 定义零信任策略的原则并设定采用的范围和时间表：

o   构建一页零信任策略，用于沟通和定向领导

o   制定贵组织将采用的零信任原则，以指导未来有关政策、程序、技术控制及其实施的决策。Gartner 建议从几个基本原则开始，然后根据需要进行修改或调整。

o   为零信任设置一系列 ODM，例如隔离在零信任控制后面的应用程序数量。如果您的组织支持网络风险量化 (CRQ) 实践，则衡量和量化风险作为建立业务案例和跟踪特定风险缓解进展的关键 ODM。

• 建立零信任卓越中心

o   建立一个跨职能团队和治理结构，其中包括多元化的 IT 和 BU 利益相关者团队，并明确界定角色和职责。

• 启动组织变革管理流程：

o   对高管进行零信任目标和预期收益的教育。

o   向更广泛的组织告知预期的变化、中断以及零信任方法的好处。

• 整合并改进 IAM 技术和流程：

o   尽可能整合身份，以识别组织的核心用户和设备身份集。身份存储应支持联合，以便与其他零信任技术控制集成。

o   使用基于标准的方法实现身份联合，以便与其他零信任工具集成（例如，用于用户属性的 OpenID Connect [OIDC] 断言和用于身份配置的跨域身份管理系统 [SCIM]）。

o   加强加入者和迁移者的身份识别流程，并根据所访问应用程序的属性和敏感度制定定义“谁有权访问什么？”的政策。

o   规划高权限账户和系统，并为这些账户定义适当的策略，为实施特权访问管理 (PAM) 做准备。

• 对所有系统、工作负载、应用程序和用例进行分类：

o   集中设备清单以确定在零信任中可以使用哪些上下文。

o   确定设备清单能力中的任何差距，并解决如何在零信任控制环境下管理未知设备。

o   定义预期用于访问控制的设备级上下文和属性。例如，是否需要注册和颁发设备证书才能访问某些应用程序？

o   确定预期用于访问控制的设备的姿态要求。例如，从发布补丁到将其应用到设备之间允许经过多少天？

o   当设备不满足或缺少上下文、属性和姿势要求但需要访问时，创建处理异常的流程。

• 首先实施高价值和高影响力的系统：

o   集中精力处理那些一旦受到损害将对组织产生最重大影响的高价值资产和用例。

o   确定任何一旦受到攻击（无论是通过关机、故障、拒绝服务、数据删除还是数据泄露）会导致组织无法正常运作或如果公开将对组织品牌造成重大损害的系统。这包括任何可能影响人类生命的系统。

• 为内部和外部员工提供现代化的办公室内和远程访问：

o   为员工建立安全的办公室内和远程访问方法，对设备应用态势检查，并通过限制打开的服务数量和监听私有网络边缘的入站连接来减少攻击面。

o   为扩展劳动力（承包商、第三方）建立安全的办公室内和远程访问方法，从而无需全隧道网络连接。

• 分段并保护网络：

o   尽可能启用 HTTPS 以外的加密协议，例如与外部 DNS 提供商一起采用 TLS 上的 DNS。

建立网络宏观分段，从校园网络开始，如果尚未建立，则在分支机构之间建立。至少在 IT、CPS 和数据中心工作负载之间启用强大的宏观分段。

中优先级

组织的中层优先事项包括：

• 中优先级系统：

o   处理中等价值资产并确定零信任策略是否必要以及在多大程度上保护这些资产。

o   如果需要零信任，那么就开始努力围绕这些中等风险资产引入零信任政策，以及政策应该达到什么样的粒度级别。

• 加强用户身份验证和身份保证：

o   实施更强大的 IAM 控制，例如无密码身份验证或 FIDO2，以试点零信任实施。

o   部署 PAM 来管理域控制器和生产环境等关键系统上的高权限用户。

• 扩大包含设备的范围：

o   如果可能，将 CPS、IoT 和 OT 设备纳入零信任实施范围。宏隔离可能是隔离这些设备所需的最低能力，但新兴技术可能会在某些用例中为验证和授权设备访问提供更强大的控制。

o   在调整零信任采用的态势评估时，请审查 BYOD 政策，确定是否需要更高级别的信任才能访问高敏感度应用程序。例如，BYOD 计划可能需要注册统一端点管理 (UEM) 工具，或者在 BYOD 移动设备上对最敏感的公司应用程序进行沙盒化和隔离。

• 将零信任技术的 POV 扩展到更多应用程序并开始删除备份连接方法：

o   将零信任技术扩展到更多应用程序，以供内部和扩展劳动力进行远程访问。

o   删除 POV 应用程序的备份远程访问工具。

o   确保零信任技术堆栈内置高可用性和冗余，以防止其成为通过策略执行点访问应用程序的单点故障。这包括身份、设备姿态、遥测和用于执行访问策略的执行点等所有组件。

• 微分段网络：

o   扩展微分段，从一小组新的、公共云托管的工作负载开始，这些工作负载具有更高的入侵风险，例如那些可能导致潜在外部攻击的依赖关系。

o   与应用程序所有者、管理员和企业主组成的跨职能团队合作，确定哪些工作负载适合细分。

o   首先观察这些工作负载的当前行为，然后与相同的跨职能团队合作，在执行微分段规则之前确定已批准的依赖关系。

o   使用 Ansible 等自动化工具在已建立的宏分段区域内实现工作负载的微分段，从而保护初始范围内的工作负载。

• 加强零信任的运营环境：

o   对设备和用户帐户的所有访问启用事务级别日志记录，并将这些数据转发到分析引擎进行分析。

o   建立针对异常用户和设备行为的检测，以解决内部威胁和帐户接管攻击。

o   调整 ODM 以反映所取得的进展并跟踪组织风险状况的改善。

• 在价值证明（POV）中试行零信任技术：

o   根据风险（例如面临的威胁）至少选择几个应用程序，围绕这些应用程序试行零信任安全。与一组愿意测试新访问方法的用户建立 POV。

o   从小处着手，仅允许通过零信任策略实施点进行访问，但保留备份访问方法。

较低优先级

从长期来看，零信任已经成熟并在更大范围内投入运营。

• 低优先级系统：

o   处理低价值资产并确定零信任策略是否必要以及需要在多大程度上保护这些资产。

o   如果需要零信任，那么就开始努力围绕这些低价值资产引入零信任政策，以及这些政策应该达到什么样的粒度级别。

• 将 IAM 流程发展为成熟的自适应方法：

o   过渡到以身份为先的安全方法进行用户身份验证，并采用持续自适应信任 (CAT) 技术来实现实时自适应访问控制。例如，集成身份和零信任网络访问控制，以便在访问任何 SaaS 或私有应用程序时根据用户和设备信任分数调整访问权限。

o   将 PAM 的范围扩展到更多系统，并将 PAM 与高权限帐户的远程访问集成。

• 自动修复 BYOD 和 CPS 设备的设备姿态故障：

o   随着工具功能的成熟，向端点（包括BYOD和CPS设备）部署更多控制，例如完整代理、可溶解代理或轻量级代理。

o   尽可能自动修复姿态检查失败，以便根据收集、分析和关联的遥测数据更快地解决用户和设备的信任分数。

• 部署统一的访问控制策略：

o   将零信任控制移到更靠近工作负载的地方，以便对应用程序和服务的访问应用零信任策略，无论其位于何处。

o   删除用于连接到使用零信任技术保护的应用程序的备份方法。

• 对范围内的应用程序实现完全零信任，并自动加入新应用程序：

o   最终完成将现有应用程序迭代添加到零信任控制范围内。

o   自动将新的应用程序纳入零信任控制范围。

• 为遗留系统和补偿控制建立区域：

o   重新审视关于零信任范围的早期决策，并评估其余应用程序是否适合零信任架构。

o   通过将遗留应用程序隔离在信任区域内，创建补偿控制。通过更高级别的检测和响应能力更严格地管理对零信任架构的访问，以弥补缺乏更多基于上下文的访问控制。

o   加快用现代应用程序和服务取代遗留应用程序的计划，这些现代应用程序和服务可以从与零信任架构相关的更复杂的访问控制中受益。

• 在可能的情况下将数据安全纳入零信任架构：

o   将零信任概念融入数据安全程序。例如，使用与 IAM 基础设施绑定的基于上下文的访问控制管理的加密来保护非结构化数据，以实现零信任。

o   构建数据安全平台与零信任架构之间的协同，增强零信任架构之外的数据安全。

• 为零信任环境构建成熟、可衡量的运营能力：

o   当设备和用户风险低于可接受的阈值时，根据行为分析自动执行操作以阻止或删除访问。

o   开发持续评估零信任控制背后应用程序和服务隔离的能力。确保根据组织的要求制定策略来确保访问安全。