1、 2024 云安全联盟大中华区版权所有1 2024 云安全联盟大中华区版权所有22024 云安全联盟大中华区保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2024 云安全联盟大中华区版权所有3 2024 云安全联盟大中华区版权所有4致谢致谢报告中文版支持单位报告中文版支持单位上海派拉软

2、件股份有限公司成立于2008年，是国内最早从事身份安全研发的原厂商，致力于为企业和机构提供以“数字身份”为核心的数字化能力底座与安全基石，覆盖身份安全、应用安全、数据安全，在上海、北京、广州、武汉、成都、长春、深圳、济南、厦门、合肥、杭州、西安等地设有研发中心和服务机构，拥有600+行业专家和资深团队，服务能力遍布全国。派拉软件已成功为全球范围内的金融、制造、医疗、教育、零售、政府、地产、科研院所等多行业2000余家企业和机构提供极致体验的“全域数字身份统一安全管控”专业服务，覆盖五百强客户300余家。派拉软件是CSA会员单位，支持该报告内容的翻译，但不影响 CSA 研究内容的开发权和编辑权。

3、主要贡献专家主要贡献专家：茆正华 徐安哲 王育恒 王磊在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给予改正！联系邮箱researchc-；国际云安全联盟CSA公众号 2024 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Hani RaoudaJonathan FlackKevin DillawayPaul SimmondsRohini SulatyckiShruti KulkarniClement BetacorneIrshadJavidJohn YeohPaul Simmonds审校者：审校者：Anna PasupathyCSA全

4、球员工：全球员工：Erik JohnsonRyan GiffordStephen Lumpe 2024 云安全联盟大中华区版权所有6目录摘要.7目标受众.7零信任的背景和推动因素.7零信任实施方法论.9范围.10引言.10身份识别的实体和属性.11身份验证与确认.12决策因子.14基于策略的授权.18处理失败的策略决策.18业务价值.19总结.20参考文献.21基础参考文献.22 2024 云安全联盟大中华区版权所有7摘要摘要身份及身份相关的属性，以及其他零信任（ZT）标识（零信任中关于身份的其他属性）是零信任架构的关键原则之一。零信任方法旨在通过基于风险的访问控制来减少网络攻击和数据泄露的几

5、率。也就是说，在授予对资源（数据、系统）的访问权限之前，必须进行身份验证和授权。为了满足这一要求，重要的是要通过零信任的视角来审视现存和新的身份、访问管理和云解决方案。零信任是一个技术无关的指导性框架，将访问控制措施更加靠近受保护资产（保护面）。从身份、访问管理的角度来看，它提供了基于风险的决策授权能力，而不是仅基于单一访问控制方法的二元信任来进行授权访问。目标受众目标受众主要：零信任（ZT）实施和架构的技术经理次要：CISO/ISO/信息安全、IAM 供应商零信任的背景和推动因素零信任的背景和推动因素多年来，有各种论文谈论信任作为人类和社会现象，其中一些使用了“零信任”这个术语。2001 年

6、，开源安全测试方法手册（OSSTMM）开始解决信息技术中的信任问题，并在其第三版（2007 年）中将“信任”标记为漏洞，并专门撰写了一整章来讨论这个主题。Sun Microsystems 在 1990 年代引入了“Chewy Center”（智能糖果或 MM糖果模型）的概念。在 2005-2007 年期间，Jericho Forum(visioning paper andJericho Forum Commandments)和 OpenGroup 为零信任做了一些基础工作，讨论了 2024 云安全联盟大中华区版权所有8传统网络边界安全模型的失败以及去边界化的必要性，这是 Open Group