零信任六大誤解

業界對零信任的關注與日俱增。IDG《2020年安全重點研究》中的數據表明，40%的受訪者主動研究零信任技術，相比2019年的僅11%可謂是飆升；而18%的受訪企業已經部署了零信任解決方案，這一比例是2018年8%的兩倍還多。另有23%的受訪者計劃在未來一年里部署零信任。

但是最近，佛瑞斯特研究所分析師Steve Turner在與企業客戶的對話中發現，“由于市場炒作蓋過了理性的聲音”，多達50%-70%的客戶完全誤解了零信任的基本概念和原則。

他補充道：“當我們立足現實，指出他們目前的處境，在零信任問題上他們就會開始經歷悲傷的五個階段了：認識到自己手里的零信任并非自己想象的那樣。”

關于零信任，目前普遍存在如下幾種迷思和誤解。

誤解1：零信任解決的是技術問題

零信任解決的可不是技術問題，而是業務問題。Turner表示：“第一步就是坐下來好好理清自己想要解決哪些業務問題。”

提出零信任模型的前佛瑞斯特分析師John Kindervag也強調要重視業務成果，并建議首席信息安全官（CISO）讓業務部門也參與進來。“如果不了解公司的業務需求，怎么可能獲得成功？”

誤解2：零信任是一款產品或產品組合

很多人都誤以為，只要部署了身份管理、訪問控制和網絡分隔，就順理成章地成功實現了零信任。但托管安全服務提供商ON2IT網絡安全戰略高級副總裁Kindervag指出，事情并非如此簡單，零信任不僅僅是一套產品或一組策略，“而是旨在阻止數據泄露的戰略計劃”。身為咨詢公司埃森哲首席信息安全官，Kris Burkhardt則將零信任描述為用于構建安全技術環境的“一套原則”。

Burkhardt補充道：“沒人能賣給你一套零信任解決方案。如果你指望買套產品來實現零信任，那你就走錯路線了。”

佛瑞斯特分析師Turner在與客戶的交流中發現，有些客戶雖然購買了號稱能實現零信任的產品，但這些產品“絲毫沒有改變他們的安全方法”：公司依然未分類數據，也沒有識別關鍵資產或改變網絡流；員工、供應商和承包商也仍舊擁有過多的權限。

誤解3：零信任意味著不信任公司員工

Kindervag解釋道，零信任方法并不是為了讓系統可信，而是要從IT系統中消除信任的概念。“信任就是個漏洞，數據泄露事件之所以會發生，往往是系統中的信任遭到了利用。我們并不是要讓系統變得可信。”

但這一點有時候會被誤解為公司突然就不信任自己的員工了。所以，CISO需要做好解釋工作，聲明零信任方法并不針對個人，而是跟要求刷卡進門沒什么兩樣。實施這一方法的最終目的是為了防止數據泄露，讓公司每一位員工免遭其害。

誤解4：零信任難以實現

Kindervag對零信任難以實現的想法嗤之以鼻。“這不過是不想你這么做的人生造出來的謠言而已，因為零信任會干掉他們的深度防御模型。”Kindervag認為，零信任并不復雜，而且顯然沒有公司現行的安全方法那么昂貴——這還是在沒考慮數據泄露事件成本的情況下。

在零信任實現難度問題上，Turner持有相同的觀點。他認為，現在實現零信任比以前容易多了：這些工具本身就改進不少，供應商如今也在跨產品線協作。“現在不需要太多投資就能輕松搞定。”

誤解5：通往零信任的正確道路只有一條

Turner表示，隨著時間推移，出現了兩條開啟零信任旅程的道路：從安全側出發和從身份管理側出發。有些公司從身份管理入手，迅速部署多因素身份驗證措施，“簡單快速地直通羅馬”。

另一些公司則采取以網絡為中心的方法，先進行略有點難度的微分隔。

誤解6：部署SASE就意味著擁有了零信任

作為將安全控制置于云端的服務，安全訪問服務邊緣（SASE）最近成為了邁向零信任的流行方式。然而，Turner指出，很多公司在新冠疫情初期的一片混亂中匆忙上馬SASE，不過是為了解決員工居家辦公的迫切問題而已。

SASE可以解決邊緣位置的零信任問題，但隨著員工回到辦公場所，公司就會意識到自己仍在按照傳統的邊界安全概念運作。Turner表示：“SASE解決方案本就不是為混合模式而生的。現在公司應該從頭開始，將零信任作為全面戰略在整個公司范圍內鋪開。”