數(shù)字化轉(zhuǎn)型依賴于混合云。在所有云環(huán)境中以一致的方式部署安全性，有助于提升企業(yè)運(yùn)營的信心和彈性。借助零信任方法，組織可實(shí)現(xiàn)運(yùn)營現(xiàn)代化，并通過動(dòng)態(tài)適應(yīng)分布在整個(gè)企業(yè)中任意位置的用戶、數(shù)據(jù)集和工作負(fù)載，使安全性成為推動(dòng)業(yè)務(wù)的因素。利用零信任保護(hù)混合云可實(shí)現(xiàn)集中式可視性、環(huán)境和管理，以一致的方式執(zhí)行安全策略，幫助組織毫不拖延地快速創(chuàng)新。

是什么讓風(fēng)險(xiǎn)管理對(duì)當(dāng)今的企業(yè)如此具有挑戰(zhàn)性？

• 比較風(fēng)險(xiǎn)的主觀定義：安全生態(tài)系統(tǒng)由各種工具組成，這些工具旨在保護(hù)數(shù)據(jù)、設(shè)置和強(qiáng)制執(zhí)行用戶權(quán)限、識(shí)別和阻止威脅以及修復(fù)漏洞等。 許多現(xiàn)代安全工具都為用戶提供了風(fēng)險(xiǎn)分析功能。 這些分析具有主觀性，它們依賴于不同的風(fēng)險(xiǎn)定義，并使用不同的變量。 比較不同工具
  的風(fēng)險(xiǎn)數(shù)據(jù)所存在的難處，可能是理解企業(yè)整體風(fēng)險(xiǎn)狀
  況時(shí)所面臨的一大障礙。
• 衡量和量化風(fēng)險(xiǎn)：重要的財(cái)務(wù)和戰(zhàn)略決策是在考慮潛在風(fēng)險(xiǎn)的情況下制定的，但量化安全風(fēng)險(xiǎn)可能極具挑戰(zhàn)性。 假設(shè)是所有風(fēng)險(xiǎn)分析的核心，包括威脅事件發(fā)生概率的假設(shè)、威脅利用已知漏洞以達(dá)到最大效果的假設(shè)，以及您的防御系統(tǒng)抵御威脅能力的假設(shè)。 如果沒有在整個(gè)企
  業(yè)中應(yīng)用一組一致的假設(shè)，就不可能準(zhǔn)確地衡量總體風(fēng)險(xiǎn)。
• 優(yōu)先補(bǔ)救風(fēng)險(xiǎn)領(lǐng)域：如果沒有一致的方法來衡量、比較和量化風(fēng)險(xiǎn)，業(yè)務(wù)領(lǐng)導(dǎo)者就將依靠直覺來決定要優(yōu)先補(bǔ)救哪些風(fēng)險(xiǎn)領(lǐng)域。 由于并非基于數(shù)據(jù)，他們的直覺可能是錯(cuò)誤的，并有可能導(dǎo)致公司出現(xiàn)財(cái)務(wù)損失。
• 跟蹤補(bǔ)救的有效性并逐步應(yīng)用所學(xué)知識(shí)：如上所述，風(fēng)險(xiǎn)管理不僅僅關(guān)乎減少損失，而且還要以經(jīng)濟(jì)有效的方式來做到這一點(diǎn)。 如果沒有量化，業(yè)務(wù)領(lǐng)導(dǎo)者就無法采取切實(shí)可行的方法來評(píng)估他們?cè)谒渴鸬陌踩ぞ呋蛩M建的團(tuán)隊(duì)上取得的投資回報(bào)。 他們也無法隨著時(shí)間的推移，衡量為化解威脅而建立的流程所產(chǎn)生的影響。

IBM安全解決方案藍(lán)圖

為了落實(shí)零信任來保護(hù)混合云，您會(huì)希望將要解決的具體安全挑戰(zhàn)所需的每種關(guān)鍵功能（下表中l(wèi)所指示）全部考慮在內(nèi)。將混合云的各項(xiàng)挑戰(zhàn)映射到零信任功能：

關(guān)鍵成功指標(biāo)：

1. 您在所有位置（內(nèi)部部署和云）的敏感數(shù)據(jù)中，已加密或經(jīng)過模糊處理的占多少百分比？

2. 您在云環(huán)境中啟動(dòng)或修改了應(yīng)用后，發(fā)生過多少次安全事件？

3. 每年審核工作⻆色和應(yīng)享權(quán)利一次以上的業(yè)務(wù)單元占多少百分比？

零信任模型能為安全風(fēng)險(xiǎn)管理做些什么？

1. 定義環(huán)境：企業(yè)需要了解在整個(gè)組織范圍內(nèi)哪些用戶、數(shù)據(jù)和資源已互聯(lián)互通。 定義環(huán)境包括根據(jù)風(fēng)險(xiǎn)發(fā)現(xiàn)資源并加以分類。

2. 驗(yàn)證和強(qiáng)制執(zhí)行：請(qǐng)求訪問資源的每個(gè)實(shí)例都需要不斷進(jìn)行驗(yàn)證和持續(xù)監(jiān)控，確保它與相關(guān)權(quán)限保持一致。

3. 解決事件：面對(duì)層出不窮的威脅、不斷變化的狀況，企業(yè)必須做出調(diào)整并不斷演變，這將要求企業(yè)在解決事件的同時(shí)，盡可能地降低對(duì)業(yè)務(wù)連續(xù)性造成的影響。 這包括面向用戶、設(shè)備和網(wǎng)絡(luò)做出改變、化解威脅以及報(bào)告合規(guī)性

4. 分析和改進(jìn)：零信任意味著自適應(yīng)；隨著威脅的性質(zhì)不斷演變，企業(yè)的 IT 生態(tài)系統(tǒng)須適應(yīng)新的業(yè)務(wù)需求，安全和 IT 領(lǐng)導(dǎo)者必須審查和調(diào)整他們的戰(zhàn)略，從而順應(yīng)不斷變化的現(xiàn)實(shí)。 這個(gè)持續(xù)改進(jìn)的過程應(yīng)該以最大限度減少業(yè)務(wù)連續(xù)性干擾的方式進(jìn)行。

*立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢(shì)

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。