根据IDG公司发布的《2020年安全优先级研究》报告,人们对零信任的兴趣正呈激增趋势:40%的受访者表示他们正在积极研究零信任技术,而2019年这一比例仅为11%;18%的企业组织表示他们已经拥有零信任解决方案,这一比例是2018年(8%)的两倍多;另有23%的受访者计划在未来12个月内部署零信任解决方案。
但知名研究机构Forrester分析师Steve Turner指出,在他最近与一些企业客户的沟通中发现,高达50%-70%的人完全误解了零信任的基本概念和原则,因为营销炒作已经完全掩盖了零信任的真实面目。他进一步补充道:“当我们将他们拉回现实,并告诉他们有关零信任的误区时,他们才意识到零信任并不是想象的那般安全。”
以下是有关零信任的一些常见“神话”和误解:
误解1:零信任解决了技术问题
事实上,零信任不能解决技术问题,它解决的是业务问题。Turner表示,“安全负责人要做的第一步是坐下来了解企业需要解决的业务问题是什么。”创建了零信任模型的Forrester前分析师John Kindervag也强调关注业务的必要性,并建议企业首席信息安全官(CISO)让业务团队参与进来。
误解2:零信任是一款产品或一组产品
关于零信任的一个常见误解是,如果企业部署了身份管理、访问控制和网络分段,那么就已经成功地实现了零信任。托管安全服务提供商ON2IT网络安全策略高级副总裁Kindervag解释说,“零信任并不是一款产品或一套策略,而是一项旨在阻止数据泄露的战略举措,一套用于构建安全技术环境的原则。”
埃森哲公司CISO Kris Burkhardt补充道,“没有人能够向企业出售零信任解决方案。如果企业想通过简单购买一款产品来获取零信任,那显然是跑偏了。”
Turner表示,他一直在与一些客户沟通,这些客户在购买一款产品时需要厂商承诺它是零信任的,但他们并没有改变任何做法,例如:没有对数据进行分类;仍然存在过多特权员工、供应商和承包商;没有识别关键资产或改变网络流量等。
误解3:零信任意味着不信任自己的员工
Kindervag解释称,零信任解决方案的目的不是让系统受信任,而是要从IT系统中消除信任的概念。他说,“信任是一种在数据泄露时最常被利用的漏洞,我们并不想让系统受信任。”这一点有时会被误解为企业不信任员工,CISO需要解释这并不是针对个人的行为,这只是相当于员工需要一张门禁卡才能进入大楼。其最终目标是防止数据泄露,因为它会影响到企业的每个人。
误解4:零信任很难实施
Kindervag驳斥了零信任很难实现的说法。他指出,“这是那些不希望企业这么做的人编造的谎言,他们甚至还称零信任会摧毁其深度防御模式。”事实上,零信任并不复杂,当然也不会比企业已经采取的措施代价更高昂,因为企业没有考虑进数据泄露的成本。Turner认为,现在实施零信任要容易得多:工具本身已经得到了改进,供应商正在开展跨产品线合作,因此企业可以不用过多投资,就能比以往更轻松地完成部署。
误解5:开启零信任之旅只有一种正确的方法
Turner表示,目前有两种开启零信任之旅的方法:安全方面和身份管理方面。一些企业从身份管理开始,并迅速部署多因素身份验证,从而获得最简单、最快速的胜利。而其他企业则采取以网络为中心的安全方法,首先解决微分段问题,这种方法可能更具挑战性。
误解6:部署SASE意味着“我有零信任”
最近,SASE(安全访问服务边缘)成为一种走向零信任之旅的流行方式,因为它是一种将安全控制置于云中的服务。然而,Turner指出,在疫情初期的混乱格局中,许多企业纷纷求助于SASE技术,以解决员工在家工作的紧迫问题。
虽然SASE解决了网络边缘的零信任问题,但随着一些员工重返办公室,企业组织意识到他们仍在使用传统的外围安全概念进行防护。Turner表示,“SASE解决方案并不是为混合工作模式构建的,企业需要重新开始规划安全策略,并将零信任纳入到企业安全战略中。”