华为：华为云零信任能力成熟度模型白皮书（34页）.pdf

《华为：华为云零信任能力成熟度模型白皮书（34页）.pdf》由会员分享，可在线阅读，更多相关《华为：华为云零信任能力成熟度模型白皮书（34页）.pdf（34页珍藏版）》请在三个皮匠报告上搜索。

1、华为云零信任能力成熟度模型白皮书2021年10月随着大数据、云计算和物联网等技术不断发展，企业网络边界逐渐模糊，同时外部网络攻击以及非授权访问、误操作、数据泄露等内部威胁层出不穷，传统的基于边界的安全防护手段已逐步失效。秉承“永不信任，始终验证”原则的零信任模型被证明可有效地解决上述问题，成为网络安全发展的新趋势。华为云在零信任能力演进过程中，识别到零信任实施是一项系统性的工程，并非通过部署单一网络架构或技术产品即可完成，需要长期规划和建设，包括明确零信任建设战略愿景，匹配所需资源，制定建设路线图等。因此，我们参考业界零信任架构，并融合华为零信任落地实践经验，构建了一套零信任能力成熟度模型，帮

2、助企业识别当前零信任的成熟度等级，并为企业下一阶段零信任能力演进的战略规划提供指导。该零信任能力成熟度模型将成熟度评估理论转化为用于指导实操的具体框架，提供可落地的评估操作指引。模型框架将零信任5大能力支柱细分为20个零信任核心子领域，从组织建设到技术工具等多个能力维度衡量零信任能力，并形成可量化的度量指标，旨在保障评估的全面性和准确性。华为云通过内部实践不断优化该成熟度模型，并将内部使用的零信任相关应用孵化成面向客户的产品和服务，目前已在人员安全、网络安全、应用安全以及数据安全等多个领域提供多个零信任相关的产品和解决方案。发布此白皮书，将指导华为云内部已实践落地的零信任能力成熟度模型分享给客

3、户及业界，共同探讨零信任能力成熟度评估方法，推动行业零信任能力建设。同时，华为云将持续发布零信任相关产品和服务，持续提升华为云安全防护能力，为客户业务合规与安全保驾护航。导 读1零信任发展现状及趋势.0155.1 设备属性管理 .115.2 设备动态访问 .115.3 设备合规 .125.4 终端设备保护 .13设备安全.1033.1 成熟度模型架构 .043.2 零信任安全领域 .043.3 零信任能力成熟度 .053.4 零信任能力维度 .05华为云零信任能力成熟度模型.032华为云零信任实施的关键点.0244.1 身份标签管理 .074.2 持续身份认证 .074.3 动态权限管理 .0

4、84.4 特权账号管理 .09人员安全.0666.1 微分段 .156.2 双向传输安全 .166.3 威胁防护 .166.4 软件定义边界 .17网络安全.1477.1 应用安全访问 .197.2 开源与第三方安全 .197.3 DevSecOps.207.4 安全配置 .21工作负载/应用安全.18目 录88.1 数据发现与分类 .238.2 数据脱敏 .248.3 数据防泄露 .248.4 数据血缘 .25数据安全.2211附录 主要参考来源.299华为云零信任实践.2610结束语.28CONTENTS华为云零信任能力成熟度模型白皮书011零信任发展现状及趋势随着云计算、大数据等技术广泛

5、应用，远程办公、移动互联等业务快速发展，企业IT技术设施变得越来越多样化，业务系统访问需求越来越复杂，内部员工、供应商人员、外部合作伙伴等可以通过多种方式灵活接入系统，系统之间的互联互通也将被更多的终端访问，企业原有的网络边界逐渐模糊。同时，网络安全风险及威胁日益复杂，APT攻击、勒索软件、内部越权操作等新型网络攻击手段层出不穷，让众多企业防不胜防，对其造成了重大的业务损失，而传统的基于边界的网络安全防护手段已难以应对这些潜在的安全威胁。零信任模型是解决上述问题的有效手段之一。零信任理念最早由研究机构Forrester的首席分析师John Kindervag于2010年提出，经过数年的发展演进

6、，已成为网络安全发展的新趋势。其核心思想是坚守“永不信任，始终验证”的原则，打破了网络边界的概念，企业网络内外的任何人、设备和系统都需要进行持续身份验证和动态授权才能够获得对企业资源的细粒度最小化权限。华为云零信任能力成熟度模型白皮书022华为云零信任实施的关键点华为云面临着与业界类似的安全挑战，因此亟需实施零信任以增强安全防护能力，为自身业务及客户业务保驾护航。然而，零信任实施并非一蹴而就，需要长期的规划和建设，包括明确零信任建设战略愿景，匹配所需资源，制定建设路线图等。其中，规划阶段的一项关键工作为开展零信任能力成熟度评估，以明确当前零信任能力成熟度水平及未来发展目标。该工作的开展需要参考