1、零信任指导原则 2025 云安全联盟大中华区版权所有2零信任工作组（Zero Trust Working Group）的永久官方地址为https:/cloudsecurityalliance.org/research/working-groups/zero-trust 2025 云安全联盟 保留所有权利。在遵守以下条件的前提下，您可以下载、存储、在 计 算 机 上 显 示、查 看、打 印 本 草 案，并 链 接 至 云 安 全 联 盟 网 站https:/cloudsecurityalliance.org：(a)本草案仅可用于您个人的、信息性的、非商业用途；(b)不得对本草案进行任何形式的修改

2、或变更；(c)不得重新分发本草案；(d)不得删除商标、版权或其他声明。您可以根据美国版权法的合理使用条款引用本草案的部分内容，但需注明这些内容来自云安全联盟。2025 云安全联盟大中华区版权所有3 2025 云安全联盟大中华区版权所有4致谢致谢（以下排名不分先后）：主要作者主要作者Alex Sharpe贡献者贡献者Robin BashamMadhav ChablaniFrank DePaolaJonathan FlackSai HonigShamik KackerAndrea KnoblauchAlice MuravinRajesh MurthyDenis NwanshiLars Ruddig

3、keitPaul SimmondsNelson SpessardBernd WegmannHeverin Joy Williams 2025 云安全联盟大中华区版权所有5Lauren Wise审阅者审阅者Sam AielloJason GarbisBrett JamesYves Le GelardJennifer MinellaChandrasekaran RajagopalanAaron RobelMichael RozaVaibhav MalikMeghana ParwateSven OlenskyAnnabelle LeeHimanshu SharmaCSA 职员职员Erik Johns

4、onStephen LumpeStephen SmithMarina Bregkou 2025 云安全联盟大中华区版权所有6目 录目 录致谢.4摘要.7执行摘要.8简介.10目标受众.10指导原则.111以终为始（业务/任务目标）.112避免过度复杂化.123产品并非优先事项.144.访问是一个有意的行为.155从内到外，而不是从外到内.166安全漏洞不可避免.187了解您的风险承受能力.208确保高层的支持和倡导.249灌输零信任文化.2510开始小规模并专注于快速赢得成果.2611持续监控.2712实用参考资料.2913推荐阅读.29 2025 云安全联盟大中华区版权所有7摘要摘要零信任（

5、ZT）是一种战略思维模式，对于组织而言，在数字化转型以及其他旨在增强组织安全性与弹性的工作中，采用零信任理念极具价值。然而，由于安全行业内信息混杂且缺乏统一标准，零信任常很容易被误解也容易被过度复杂化。事实上，零信任是基于一些长期存在的原则，随着我们工作和生活方式的改变，这些原则变得愈发关键，例如远程办公、对第三方依赖的增加、云计算的采用，以及机器学习（ML）、自然语言处理（NLP）和大语言模型（LLM）等人工智能（AI）技术的广泛和加速应用。本文档旨在填补这些空白，通过梳理基本原则，包括诸如最小权限原则、职责分离原则和分段原则等既定的信息安全（InfoSec）原则，来阐明零信任理念。这些指导

6、原则将在所有零信任支柱、不同的应用场景、环境和产品中都将保持一致。随着行业的发展，本指南也会不断演进。2025 云安全联盟大中华区版权所有8执行摘要执行摘要零信任是一种简单的信息安全（InfoSec）方法，但常常被误解和过度复杂化。如果能够正确理解，零信任的理念和策略将成为组织提升安全性、增强弹性并指导数字化转型的有力工具。这些工具也可以与 AI 结合，实现双赢：AI 可以帮助实施零信任计划，而零信任原则也应用于保护 AI 的使用，包括 AI 模型和训练数据。本文档旨在清晰阐述零信任的概念，并提供在规划、实施和运营零信任时需牢记的指导原则。在传统模式下，信息安全主要依赖于技术控制，其安全模型基