业界对零信任的关注与日俱增。IDG《2020年安全重点研究》中的数据表明,40%的受访者主动研究零信任技术,相比2019年的仅11%可谓是飙升;而18%的受访企业已经部署了零信任解决方案,这一比例是2018年8%的两倍还多。另有23%的受访者计划在未来一年里部署零信任。
但是最近,佛瑞斯特研究所分析师Steve Turner在与企业客户的对话中发现,“由于市场炒作盖过了理性的声音”,多达50%-70%的客户完全误解了零信任的基本概念和原则。
他补充道:“当我们立足现实,指出他们目前的处境,在零信任问题上他们就会开始经历悲伤的五个阶段了:认识到自己手里的零信任并非自己想象的那样。”
关于零信任,目前普遍存在如下几种迷思和误解。
误解1:零信任解决的是技术问题
零信任解决的可不是技术问题,而是业务问题。Turner表示:“第一步就是坐下来好好理清自己想要解决哪些业务问题。”
提出零信任模型的前佛瑞斯特分析师John Kindervag也强调要重视业务成果,并建议首席信息安全官(CISO)让业务部门也参与进来。“如果不了解公司的业务需求,怎么可能获得成功?”
误解2:零信任是一款产品或产品组合
很多人都误以为,只要部署了身份管理、访问控制和网络分隔,就顺理成章地成功实现了零信任。但托管安全服务提供商ON2IT网络安全战略高级副总裁Kindervag指出,事情并非如此简单,零信任不仅仅是一套产品或一组策略,“而是旨在阻止数据泄露的战略计划”。身为咨询公司埃森哲首席信息安全官,Kris Burkhardt则将零信任描述为用于构建安全技术环境的“一套原则”。
Burkhardt补充道:“没人能卖给你一套零信任解决方案。如果你指望买套产品来实现零信任,那你就走错路线了。”
佛瑞斯特分析师Turner在与客户的交流中发现,有些客户虽然购买了号称能实现零信任的产品,但这些产品“丝毫没有改变他们的安全方法”:公司依然未分类数据,也没有识别关键资产或改变网络流;员工、供应商和承包商也仍旧拥有过多的权限。
误解3:零信任意味着不信任公司员工
Kindervag解释道,零信任方法并不是为了让系统可信,而是要从IT系统中消除信任的概念。“信任就是个漏洞,数据泄露事件之所以会发生,往往是系统中的信任遭到了利用。我们并不是要让系统变得可信。”
但这一点有时候会被误解为公司突然就不信任自己的员工了。所以,CISO需要做好解释工作,声明零信任方法并不针对个人,而是跟要求刷卡进门没什么两样。实施这一方法的最终目的是为了防止数据泄露,让公司每一位员工免遭其害。
误解4:零信任难以实现
Kindervag对零信任难以实现的想法嗤之以鼻。“这不过是不想你这么做的人生造出来的谣言而已,因为零信任会干掉他们的深度防御模型。”Kindervag认为,零信任并不复杂,而且显然没有公司现行的安全方法那么昂贵——这还是在没考虑数据泄露事件成本的情况下。
在零信任实现难度问题上,Turner持有相同的观点。他认为,现在实现零信任比以前容易多了:这些工具本身就改进不少,供应商如今也在跨产品线协作。“现在不需要太多投资就能轻松搞定。”
误解5:通往零信任的正确道路只有一条
Turner表示,随着时间推移,出现了两条开启零信任旅程的道路:从安全侧出发和从身份管理侧出发。有些公司从身份管理入手,迅速部署多因素身份验证措施,“简单快速地直通罗马”。
另一些公司则采取以网络为中心的方法,先进行略有点难度的微分隔。
误解6:部署SASE就意味着拥有了零信任
作为将安全控制置于云端的服务,安全访问服务边缘(SASE)最近成为了迈向零信任的流行方式。然而,Turner指出,很多公司在新冠疫情初期的一片混乱中匆忙上马SASE,不过是为了解决员工居家办公的迫切问题而已。
SASE可以解决边缘位置的零信任问题,但随着员工回到办公场所,公司就会意识到自己仍在按照传统的边界安全概念运作。Turner表示:“SASE解决方案本就不是为混合模式而生的。现在公司应该从头开始,将零信任作为全面战略在整个公司范围内铺开。”
链接地址:http://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247491872&idx=1&sn=40d2f96444dcb1a83d28834b5b06765f&chksm=c144939df6331a8bdece5e5fcebecaf49dda65dbaa973d395f127920030be162662897463488&mpshare=1&scene=23&srcid=0122LCibphp71VqYc5amItQx&sharer_sharetime=1642780940835&sharer_shareid=9603544ecd5d7f3dc66603ae089636f4#rd
