本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 采用零信任：一种安全和敏捷的业务转型策略
<a name="introduction"></a>

*Greg Gooden，Amazon Web Services（AWS）*

*2023 年 12 月*（[文档历史记录](doc-history.md)）

如今，各组织比以往任何时候均更加关注安全这一关键优先事项。这样会带来广泛的优势，从维护客户的信任，到提高员工的移动性，再到开启新的数字化商机。在此过程中，他们继续提出一个老生常谈的问题：确保我的系统和数据具有适当级别的安全性和可用性的最佳模式是什么？ 零信任已日益成为用来描述此问题的现代答案的术语。

零信任架构（ZTA）是一种概念模型和一组相关的机制，侧重于为数字资产提供安全控件，这些资产不仅仅或并非从根本上依赖于传统的网络控制或网络边界。相反，网络控制通过身份、设备、行为和其他丰富的上下文和信号进行增强，以做出更精细、智能、自适应和持续的访问决策。通过实施 ZTA 模型，您可以在网络安全的持续成熟中实现有意义的下一次迭代，特别是深度防御概念。

## 决策流程
<a name="decision-making-processes"></a>

实施 ZTA 策略需要仔细规划和决策。它涉及到评估各种因素并使它们与组织目标保持一致。开启 ZTA 之旅的关键决策流程包括：

1. 利益相关者的参与 — 让其他和高级管理人员参与进来 CxOs VPs，了解他们的优先事项、担忧以及对组织安全态势的愿景至关重要。通过从一开始就让关键利益相关者参与进来，您可以使 ZTA 的实施与总体战略目标保持一致，并获得必要的支持和资源。

1. 风险评测 – 开展全面的风险评测有助于识别问题、过大的表面面积和关键资产，从而帮助您在安全控件和投资方面做出明智的决策。评估组织的现有安全状况，找出潜在的弱点，并根据您所在行业和运营环境的特定风险状况确定需要改进的领域的优先级。

1. 技术评估 – 评测组织现有的技术发展趋势并找出差距，有助于选择符合 ZTA 原则的适当工具和解决方案。该评估应包括对以下内容的全面分析：
   + 网络架构
   + 身份和访问管理系统
   + 身份验证和授权机制
   + 统一端点管理
   + 资源所有权工具和流程
   + 加密技术
   + 监控和日志记录功能
   + 选择合适的技术堆栈对于构建强大的 ZTA 模型至关重要。

1. 变革管理 – 认识到采用 ZTA 模型对企业文化和组织机构产生的影响十分重要。实施变革管理实践有助于确保整个组织平稳过渡并接受此新模型。它包括让员工了解 ZTA 的工作原理及其可带来的优势、开展新安全实践培训以及培养鼓励问责制和持续学习的安全意识文化。

该规范性指南旨在为高级管理人员提供 CxOs实施ZTA的全面战略。 VPs它将深入探讨 ZTA 的一些关键问题，包括以下内容：
+ 组织就绪性
+ 分阶段采用方法
+ 利益相关者协作
+ 实现安全、敏捷业务转型的最佳实践

通过遵循本指南，您的组织可以驾驭ZTA格局，并在Amazon Web Services (AWS) 云的安全之旅中取得成功成果。 AWS 提供可用于实施 ZTA 的各种服务，例如 AWS Identity and Access Management （IAM）、亚马逊虚拟私有云（亚马逊 VPC）、亚马逊 VPC Lattice、亚马逊验证权限、亚马逊 API Gateway 和亚马逊。 AWS Verified Access GuardDuty这些服务可以帮助保护 AWS 资源免遭未经授权的访问。