本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 分阶段实现零信任的方法
<a name="phased-migration"></a>

采用零信任架构（ZTA）需要仔细地进行规划和实施。我们建议利用分阶段采用方法，以实现平稳过渡并最大限度地减少对业务运营的干扰。本节就采用 ZTA 所涉及的关键阶段提供指导。

## 阶段 1：评测和规划
<a name="phase-1"></a>

零信任实施的第一阶段是评测和规划。此阶段对于整体实施的成功至关重要，因为它涉及到识别和弥合贵组织当前安全状况中的任何差距。通过花时间评测您的当前状态并定义安全目标，您可以为成功实施零信任奠定基础。

同时，完全完整和准确的评测可能并非总是现实的。为避免分析瘫痪导致您无法继续进入后续阶段，做好权限分离或接受某种程度的缺陷的准备。

1. **评测当前状态** – 对现有的安全基础设施、策略和控制措施开展评测。确定潜在的脆弱性、安全差距，以及零信任原则的实施可以提供改进的领域。

1. **定义安全目标** – 根据当前状态评测调查发现，定义符合零信任原则的安全目标。这些安全目标还应与组织的总体安全策略保持一致，并解决已发现的脆弱性和差距。

1. **设计架构** – 制定一个支持组织的安全目标的 ZTA。该架构应包括必要的组件，例如身份和访问管理解决方案、网络分段机制和持续监控系统。该架构还应具有可扩展性、较强的适应性，并能够适应未来的增长和技术进步。理想情况下，这种架构应以一种易于由负责实施的团队使用的格式来表示，例如 AWS CloudFormation 模板，而不仅仅是文档或图表。

1. **让利益相关者参与** – 让所有利益相关者（包括业务部门、IT 团队和安全团队）参与进来，以获得洞察并使其目标与 ZTA 实施计划保持一致。鼓励协作和沟通，以建立对零信任方法的优势和要求的共识。

## 阶段 2：试点和实施
<a name="phase-2"></a>

零信任实施的第二个阶段是试点和实施。此阶段涉及到在小规模、受控的环境中测试 ZTA，然后在整个组织中对其进行迭代部署。教导员工了解新的安全措施以及他们在维护零信任环境方面的角色非常重要。

1. **试点部署** – 在小规模、受控的环境中测试 ZTA。实施在架构设计阶段定义的必要组件和安全控件。密切监控试点部署、收集反馈并进行必要的调整。当零信任从一种假设的练习转变为您正在积累真实体验的实操时，请做好在过程的早期保持灵活性的准备。

1. **迭代部署** – 根据从试点部署中吸取的经验教训，开始在整个组织中迭代部署零信任。通过飞轮效应建立势头，该方法无需广泛的活动即可实现关键的部署量。在可能需要的地方，为推出的余尾部分保留领导层授权或升级。

1. **提供用户培训并提高意识** – 教导员工了解新的安全措施及其在维护零信任环境方面的角色。强调安全实践的重要性，例如强密码、多重身份验证和定期安全更新。

1. **管理变更** – 创建全面的变更管理计划，以应对与采用零信任相关的组织和文化变革。向员工传达采用背后的优势和理由，并应对任何顾虑或阻力。提供持续的支持和指导，以促进平稳过渡。

## 阶段 3：监控和持续改进
<a name="phase-3"></a>

零信任实施的第三个（也是最后一个）阶段是监控和持续改进。此阶段涉及到制定全面的监控和分析计划，创建全面的事件响应计划，并定期征求利益相关者和用户的反馈。

1. **持续监控** – 建立全面的监控和分析计划，以持续评测安全状况并检测任何潜在的异常情况。使用高级安全工具和技术监控用户行为、网络流量和系统活动。

1. **规划事件响应和补救** – 创建符合零信任原则的全面事件响应计划。建立明确的上报途径，定义角色和职责，并在可能的情况下实施自动化事件响应机制。定期测试和更新事件响应计划。

1. **获取反馈和评估** – 定期征求利益相关者和用户的反馈，以收集对零信任架构（ZTA）有效性的洞察。定期开展评估和评测，以衡量对安全状况、运营效率和用户体验的影响。使用反馈和评估结果来确定需要改进的领域。预计您的 ZTA 会随着时间的推移而发生变化，并考虑开发团队将如何以极小的工作量或中断来实施这些更新。

## 章节摘要
<a name="phased-approach-summary"></a>

组织通过遵循这种分阶段采用方法，可以有效地过渡到 ZTA，同时最大限度地减少风险和中断。下一节将讨论实现成功实施零信任的最佳实践，涵盖面向企业高管、副总裁和高级管理人员的关键注意事项和建议。