零信任战略：云安全设计

变革势在必行

过去 18 个月的实践已经证明，云为组织敏捷性开辟了前所未有的广阔空间。而安全则是释放云潜力的关键所在。埃森哲凭借自身的规模、体量与复杂性，对云安全的强大力量拥有切身体会。

六年前，埃森哲开启上云旅程。我们近期的研究表明，安全与合规风险被视为是企业用云的两大痛点之一。早在上云之初，我们就已明确，云安全是支撑业务发展的重要基石。

从完全可控的本地基础设施，转向依赖供应商技术与环境的云端协作模式，是一个重大转变。在云端，基础设施和新服务能力截然不同，不能将本地部署简单用于云上。

我们需要重新构想安全模型的实施方法，以充分发挥云原生解决方案的能力。为满足云端运营的要求，我们对核心安全指导原则进行了演进。我们重新定义了安全规则，使其能够灵活适配云基础设施的更新。在审视安全方法时，我们考虑的不仅是基础设施，还包括应用、数据及代码层。

如今，埃森哲的 IT 基础设施运行在混合云上，成本较传统交付模式大幅降低。我们的战略是从一开始就确保安全，基于云能力重构安全体系。这有助于我们了解云解决方案如何全面支撑业务中的各项安全要素。

当科技融汇灵智

在打造云连续体之初，我们就意识到，必须提升安全实践，以契合我们的云安全核心价值观。我们希望以软件定义赋能，从源头保护应用与基础设施代码的安全。我们注入了行为驱动的分析能力，运用自动化人工智能（AI）行为分析，在跨云平台工作时更迅速、更精准地识别异常。对我们而言，保持云中立、适配多云环境至关重要。只有这样，我们的安全框架与原则才能够适用于任何云供应商，并具备可审计性。

更重要的是，我们还依托云、网络、访问、数据与端点等多层纵深安全防护，嵌入了强大的防御体系。我们的战略以零信任方法为核心，将一切视为不可信，从而保护云安全之旅的各个环节。在聚焦零信任的同时，我们采用了以身份为中心的方法，将所有访问都建立在身份的基础之上，每个请求都经过明确验证。

五大核心功能助力云安全之旅走向成功：

共担责任。随着在云端越来越多地使用软件即服务（SaaS）和平台即服务（PaaS），我们将聚焦并信任与云供应商之间的责任共担模式。通过与超大规模云服务商共担责任，而非独自承受，我们将从根本上提升安全性。我们与微软、亚马逊和谷歌云服务展开合作，充分利用其市场成熟度、广泛的安全认证，及其与我们相同的重视安全的理念。

寻求基于云的解决方案。云服务供应商在创新产品与安全领域不断加码。通过采用云原生和基于云的政策、管控手段、流程与技术，我们能够在构建自身云安全能力时，充分利用其固有的敏捷性与规模优势。

确保合规。我们与云服务供应商携手，让云安全战略既立足于行业公认标准，又能够持续适应企业的业务需求。我们遵循行业定义的政策，借助报警机制，践行零信任原则，并通过代码管理安全，确保持续合规。由此，我们的服务、用户、工作负载与数据得以在部署之初就拥有安全保障，能够持续抵御不断演变的威胁，同时满足第三方审计验证的要求。

提升透明度。我们采用多层次策略，借助云供应商的技术与先进的威胁检测方案，强化安全防护。提升透明度，既是为了强化自身可操作的管控能力，也是为了满足外部审计的要求。

将信任融入其中。我们相信，身份就是新时代的防火墙。将身份置于核心，意味着我们采用了零信任策略，在其中嵌入恰当且持续的身份验证机制。信任的建立，从根本上将取决于身份与角色。

打造显著差异

我们对云运营的各个环节进行了全面审视，由此构建了一套完整的云安全战略。在多云基础设施践行这一变革方法的过程中，我们得以持续贯彻高效的安全政策、资源与服务。

关于有效的云安全实践，我们积累了以下经验：

• 以云为本的设计：打造云连续体需要一种与本地部署截然不同的运营模式。以云的视角重新构想安全原则，以发挥放云安全的力量，推动业务转型。

• 推动文化转型：自上而下弥合与云原生服务之间的文化鸿沟。通过教育与培训转变员工的观念，使其理解云的价值，并认识到企业安全态势的重要性。

• 深化伙伴关系：打造云连续体不仅包括将部分控制权交予第三方，还包括承袭云解决方案的先进能力。与供应商建立信任关系，共担安全责任将至关重要。

展望未来，为了在多云环境中有效保护并管理访问控制，我们将致力于实现跨平台的身份对齐，即确保所有身份在不同平台与供应商之间保持一致。以数据为核心驱动力，我们的云安全将随着跨平台云能力的增长而全面持续提升。

我们希望探索新的解决方案，利用 AI 增强威胁检测能力，借助机器学习修复代码，从而预防潜在漏洞。通过与“预防、保护、检测、恢复”战略相结合，我们将进一步加强零信任体系。