华为安全商业联盟联合Forrester共同发布《零信任最佳实践》白皮书

[中国，深圳，2022年6月15日] 以“因聚而生，为你所能”为主题的华为伙伴暨开发者大会2022成功召开，大会期间，华为携手华为安全商业联盟伙伴，聚焦零信任的关键价值、产业推动、应用模式与行业实践，共同探讨了中国网络安全企业在零信任安全方面的前沿技术和最新思考。与此同时，华为安全商业联盟联合Forrester共同发布《构建数字时代的安全基石，零信任最佳实践》白皮书（下文简称《零信任最佳实践》白皮书），旨在帮助更多企业理解零信任理念、规划零信任路径、评估零信任方案以及部署零信任架构，为企业构建面向未来业务发展的新一代安全防护体系。

Forrester作为全球最具影响力的独立研究咨询公司之一，致力于为决策者提供具有前瞻性的方案。Forrester于2009年第一次提出零信任概念之后，零信任架构被业界广泛认可。华为安全商业联盟成员（华为技术有限公司、深圳竹云科技股份有限公司、深圳市联软科技股份有限公司、杭州安恒信息技术股份有限公司）联合Forrester咨询公司对中国零信任市场及行业实践进行了调研，访问了208名大中型企业及机构的信息安全决策者，并撰写出《零信任最佳实践》白皮书。

《零信任最佳实践》白皮书基于调研数据样本帮助企业全面认知零信任架构的关键价值，识别部署零信任架构面临的多重挑战，并提供如下典型零信任应用实践，帮助企业更有针对性地制订适合自身发展的零信任方案：

1. 内网应用访问零信任：部署IAM实现统一身份认证与访问管理；基于终端、用户、应用、API和数据粒度实现动态授权，最大化收缩受攻击面；通过云桌面访问方式保证敏感数据不出数据中心；结合UEBA和安全风险评估动态调整授权，实现自动化安全管理。

2. SDP远程办公零信任：SPA协议保障只有获得私有凭证的设备才能访问网络；SDP机制的多因子认证保障只有授权用户才能访问内部应用；访问B/S业务免客户端登录，提升用户体验；SDP Agent通过HTTPS封装C/S架构的应用流量，无需对应用进行改造即可实现远程办公及运维。

3. 园区办公终端准入零信任：实施全网准入控制，只有符合信任级别的用户和设备才能注册入网，入网权限根据身份和信任评分进行细粒度授权；对资产、用户、流量、应用、行为等进行持续信任评估，对威胁源主动定位，实现全网感知和主动防御；全网设备安全联动，威胁事件实时阻断。

4. 网络微隔离（MSG）零信任：强化身份认证和动态授权机制，对微服务间的访问进行授权，并对访问链路进行加密；建立微服务隔离机制，通过对微服务进行监督、控制等策略，阻止未授权的连接；实施细粒度访问控制，只允许数据在许可的应用和API之间流动。

零信任体系的建立不可能一蹴而就，从零信任的规划到落地仍不可避免地面临一系列问题。因此，建议企业在选择和部署零信任的过程中，借助伙伴生态力量，选择具备清晰的产品战略、成熟的零信任解决方案以及深厚企业服务经验的合作伙伴，降低在技术选择和决策方面的风险，从而使企业能够更加聚焦于关键业务场景。

《零信任最佳实践》白皮书具有思想指导意义，其发布可以帮助更多的企业及机构理解零信任理念，促使企业以更加审慎的目光聚焦现有的安全机制，为更多在研究、评估以及部署零信任的企业及机构提供帮助和决策参考。

面对日益复杂的网络安全环境，零信任架构成为企业保障业务连续性和应对不确定性的关键。华为将与华为安全商业联盟伙伴持续推进零信任方案创新，根据用户需求持续打造更多场景化实践，帮助企业实现真正的零信任安全防护，在新技术和产业变革的浪潮下，对抗未来发展的新风险，为企业的数字化转型之旅奠定安全信任基石。