零信任安全建設的新陷阱：投入過度

零信任安全理念在今天的企業網絡安全建設中儼然已取得了成功。據云安全聯盟在2022年的最新調查數據顯示，幾乎所有受訪的企業正在實施或準備實施零信任安全建設，而77%的受訪企業表示，將在2023年增加零信任安全建設的投入支出。但Gartner公司副總裁兼分析師John Watts日前表示：隨著零信任概念備受炒作，一些企業組織的零信任安全建設出現了過度關注和投入的問題。

過度投入的危害

零信任安全應用現在仍處于早期階段，Gartner研究發現，目前僅有不到1%的大企業真正實現了成熟的、可衡量的零信任計劃，建設零信任需要時間，難以快速實現。

但市場對零信任解決方案的建設需求卻在快速增長，當零信任概念由營銷炒作快速轉變為建設落地時，也意味著很多企業用戶會遇到一些不可避免的陷阱。其中一個最新發現的陷阱就是，實際上很多企業可能過度關注零信任這個概念。現在擺在這些企業面前的問題與其說是對零信任投入不足，還不如說是投入過度。

如果企業過度期待零信任在安全方面帶來的功效，就會忽視了做好其他必須的安全工作。Optiv首席信息安全官Max Shier認為：我們已經看到一些企業對零信任的期望變得不切實際。網絡安全界沒有靈丹妙藥，零信任也不是。零信任無法解決組織面臨的所有安全威脅。比如說，當企業越來越多地提供面向外部的應用和服務時，會引起企業威脅暴露面的不斷擴大，但有效的攻擊面管理并不能通過零信任控制措施來實現；另一種典例是安全威脅是軟件供應鏈攻擊，零信任技術有助于防止對應用程序代碼的感染，但是攻擊者發起類似于SolarWinds等攻擊事件時，依靠零信任技術則難以解決。

此外，零信任是一項變革性的工作。企業組織短期內的過度投入，將不利于零信任安全建設的持續開展。在開展零信任安全建設之前，很多企業多年來在安全和網絡軟硬件設備上已經投入了大量的資金，企業組織應該盡可能利用好現有技術和設備，在此基礎上實現向零信任戰略轉型。

與其他任何長期的戰略項目一樣，企業在開展零信任安全建設前，也需要制定科學的實施計劃。NSTAC（美國國家安全電信咨詢委員會）在其編寫的《零信任和可信身份管理報告》指南報告中，列出了零信任實施的五個關鍵步驟：界定保護范圍、映射事務流、構建零信任架構、制定零信任策略以及監控和維護網絡，這強調了實施零信任將是一個長時間的優化迭代過程，也說明了零信任安全能力難以通過短期快速投入來獲得，需要制定科學、合理的實施計劃。

應關注主要風險

零信任安全建設的熱潮始于2009年，即谷歌開始實施BeyondCorp計劃，這被視為第一個成功的零信任建設項目實踐。然而大多數的企業并不能像谷歌一樣，具備在零信任方面大力投入的能力，也不需要將零信任安全建設的那么深入。不同企業組織對零信任的需求和目標都不相同，因此零信任的理想投入程度也不一樣。

盡管谷歌在建立其零信任安全架構時，是從頭開始建立了整個安全網絡。但對于大部分企業組織來說，并不需要這樣。零信任建設其實可以簡單的通過增強環境中已有的安全控制開始。在實際建設中，一些企業組織可能只需要實施一些單點式零信任方案，就可以帶來較大的價值。科學的規劃與合理的投入對零信任安全的長期建設很有利，因為不僅降低了項目實施難度，同時也可以更快的從中獲益。

Watts認為，企業組織應當首先搞清楚自己需要用零信任戰略來解決的主要安全風險，并使用一些獨立的零信任理念工具來逐步應對這些風險，而不一定是從一個全面的零信任平臺做起。對于大多數企業來說，零信任架構的建設時機和方法，有多種實現路徑可以選擇。不同行業、規模和需求的企業，應該基于自身對零信任概念的理解，選擇適合自己的零信任道路，這樣才能提高安全技術和投資的有效性，為企業長期實現零信任之路打下堅實的基礎。

需要強調的是，企業在開展零信任安全建設時，還應將用戶體驗放在首位，盡可能保證零信任戰略在企業應用流程中的順暢性。如果員工認為復雜的零信任方案阻礙了正常業務工作開展，就會設法繞過方案中包含的安全管控環節，不能真正實現零信任安全建設的預期目標。