信息化觀察網(wǎng)

根據(jù)IDG公司發(fā)布的《2020年安全優(yōu)先級(jí)研究》報(bào)告，人們對(duì)零信任的興趣正呈激增趨勢(shì)：40%的受訪者表示他們正在積極研究零信任技術(shù)，而2019年這一比例僅為11%；18%的企業(yè)組織表示他們已經(jīng)擁有零信任解決方案，這一比例是2018年（8%）的兩倍多；另有23%的受訪者計(jì)劃在未來12個(gè)月內(nèi)部署零信任解決方案。

但知名研究機(jī)構(gòu)Forrester分析師Steve Turner指出，在他最近與一些企業(yè)客戶的溝通中發(fā)現(xiàn)，高達(dá)50%-70%的人完全誤解了零信任的基本概念和原則，因?yàn)闋I(yíng)銷炒作已經(jīng)完全掩蓋了零信任的真實(shí)面目。他進(jìn)一步補(bǔ)充道：“當(dāng)我們將他們拉回現(xiàn)實(shí)，并告訴他們有關(guān)零信任的誤區(qū)時(shí)，他們才意識(shí)到零信任并不是想象的那般安全。”

以下是有關(guān)零信任的一些常見“神話”和誤解：

誤解1：零信任解決了技術(shù)問題

事實(shí)上，零信任不能解決技術(shù)問題，它解決的是業(yè)務(wù)問題。Turner表示，“安全負(fù)責(zé)人要做的第一步是坐下來了解企業(yè)需要解決的業(yè)務(wù)問題是什么。”創(chuàng)建了零信任模型的Forrester前分析師John Kindervag也強(qiáng)調(diào)關(guān)注業(yè)務(wù)的必要性，并建議企業(yè)首席信息安全官（CISO）讓業(yè)務(wù)團(tuán)隊(duì)參與進(jìn)來。

誤解2：零信任是一款產(chǎn)品或一組產(chǎn)品

關(guān)于零信任的一個(gè)常見誤解是，如果企業(yè)部署了身份管理、訪問控制和網(wǎng)絡(luò)分段，那么就已經(jīng)成功地實(shí)現(xiàn)了零信任。托管安全服務(wù)提供商ON2IT網(wǎng)絡(luò)安全策略高級(jí)副總裁Kindervag解釋說，“零信任并不是一款產(chǎn)品或一套策略，而是一項(xiàng)旨在阻止數(shù)據(jù)泄露的戰(zhàn)略舉措，一套用于構(gòu)建安全技術(shù)環(huán)境的原則。”

埃森哲公司CISO Kris Burkhardt補(bǔ)充道，“沒有人能夠向企業(yè)出售零信任解決方案。如果企業(yè)想通過簡(jiǎn)單購(gòu)買一款產(chǎn)品來獲取零信任，那顯然是跑偏了。”

Turner表示，他一直在與一些客戶溝通，這些客戶在購(gòu)買一款產(chǎn)品時(shí)需要廠商承諾它是零信任的，但他們并沒有改變?nèi)魏巫龇?，例如：沒有對(duì)數(shù)據(jù)進(jìn)行分類；仍然存在過多特權(quán)員工、供應(yīng)商和承包商；沒有識(shí)別關(guān)鍵資產(chǎn)或改變網(wǎng)絡(luò)流量等。

誤解3：零信任意味著不信任自己的員工

Kindervag解釋稱，零信任解決方案的目的不是讓系統(tǒng)受信任，而是要從IT系統(tǒng)中消除信任的概念。他說，“信任是一種在數(shù)據(jù)泄露時(shí)最常被利用的漏洞，我們并不想讓系統(tǒng)受信任。”這一點(diǎn)有時(shí)會(huì)被誤解為企業(yè)不信任員工，CISO需要解釋這并不是針對(duì)個(gè)人的行為，這只是相當(dāng)于員工需要一張門禁卡才能進(jìn)入大樓。其最終目標(biāo)是防止數(shù)據(jù)泄露，因?yàn)樗鼤?huì)影響到企業(yè)的每個(gè)人。

誤解4：零信任很難實(shí)施

Kindervag駁斥了零信任很難實(shí)現(xiàn)的說法。他指出，“這是那些不希望企業(yè)這么做的人編造的謊言，他們甚至還稱零信任會(huì)摧毀其深度防御模式。”事實(shí)上，零信任并不復(fù)雜，當(dāng)然也不會(huì)比企業(yè)已經(jīng)采取的措施代價(jià)更高昂，因?yàn)槠髽I(yè)沒有考慮進(jìn)數(shù)據(jù)泄露的成本。Turner認(rèn)為，現(xiàn)在實(shí)施零信任要容易得多：工具本身已經(jīng)得到了改進(jìn)，供應(yīng)商正在開展跨產(chǎn)品線合作，因此企業(yè)可以不用過多投資，就能比以往更輕松地完成部署。

誤解5：開啟零信任之旅只有一種正確的方法

Turner表示，目前有兩種開啟零信任之旅的方法：安全方面和身份管理方面。一些企業(yè)從身份管理開始，并迅速部署多因素身份驗(yàn)證，從而獲得最簡(jiǎn)單、最快速的勝利。而其他企業(yè)則采取以網(wǎng)絡(luò)為中心的安全方法，首先解決微分段問題，這種方法可能更具挑戰(zhàn)性。

誤解6：部署SASE意味著“我有零信任”

最近，SASE（安全訪問服務(wù)邊緣）成為一種走向零信任之旅的流行方式，因?yàn)樗且环N將安全控制置于云中的服務(wù)。然而，Turner指出，在疫情初期的混亂格局中，許多企業(yè)紛紛求助于SASE技術(shù)，以解決員工在家工作的緊迫問題。

雖然SASE解決了網(wǎng)絡(luò)邊緣的零信任問題，但隨著一些員工重返辦公室，企業(yè)組織意識(shí)到他們?nèi)栽谑褂脗鹘y(tǒng)的外圍安全概念進(jìn)行防護(hù)。Turner表示，“SASE解決方案并不是為混合工作模式構(gòu)建的，企業(yè)需要重新開始規(guī)劃安全策略，并將零信任納入到企業(yè)安全戰(zhàn)略中。”