本文来自微信公众号“安全牛”,作者/徐晓丽。
零信任技术自从诞生之日起就备受关注,被认为是网络安全技术发展的颠覆性创新理念。但对企业来说,零信任安全建设是一个充满挑战的持续过程。企业在开展零信任安全建设时,不能把一切推倒重来,这样不仅会严重影响用户体验,还可能会导致零信任项目落地失败。对于我国的企业组织而言,现在的问题不在于是否应用部署零信任技术,而是如何避免其中的应用陷阱和过度投入等问题。
为了更好地了解零信任技术当前在我国企业组织中的落地应用情况,安全牛日前开展了针对零信任技术应用的问卷调查活动。本次调研通过网上渠道自愿报名方式开展,一共收回133份问卷,其中有效问卷116份(由甲方用户的网络安全、风控岗位相关人员填写),涉及金融、制造、教育、医疗卫生、商业服务业等行业。安全希望本次调查工作能够在一定程度上反映出当前我国企业零信任技术的应用现状,并为更多组织在后续零信任技术应用中提供可行的实施思路与建议。
通过对有效调查问卷所反馈结果的分析和汇总,安全牛发现零信任安全理念已经较广泛得到国内各类型企业用户的认可,组织对应用零信任进行网络安全建设已经初具信心,零信任理念对网络安全防护工作的价值开始多方面的展现。以下是本次调研中部分重点问题的结果展现:
1、本次调查数据显示,有86.3%的受访企业表示已经开始或计划开展零信任安全建设,其最大驱动因素为数字化业务发展需要,而网络访问环境变化、网络安全事件和合规要求也是推动零信任安全建设的主要驱动因素。
图1企业开展零信任网络建设的需求和驱动因素
2、本次调查发现,我国企业在开展零信任安全建设时更多会选择循序渐近的部署方式,其中34.5%的受访者表示会首先以试点方式进行建设;有24.2%是基于现安全网络进行升级或改造,但其中20.7%的企业会首先进行局部改造,仅有3.5%的企业会进行全面改造。
图2企业开展零信任网络建设的主要方式
3、调查数据显示,保障远程访问安全是当前我国企业组织开展零信任安全建设的主要诉求(占比为80.4%),其次诉求还包括移动办公终端安全管理、数据安全、API安全管理和互联网客户安全管理等。
图3我国企业开展零信任网络建设的主要诉求
4、调查发现,在零信任网络的场景化能力建设中,多数企业都会结合已有的安全能力进行扩展或改造。近82.1%的受访者表示有身份安全建设的需要,其次是业务访问控制、网络接入和数据安全。
图4当前企业零信任网络建设的主要场景
5、调查发现,目前我国企业在具体零信任技术产品的采用率和应用场景方面均有较大可提升空间,目前主要集中在远程办公访问的安全场景中,且仅有SDP类一种产品的采用率超过30%。
图5零信任相关产品或方案的采用情况
6、调研发现,目前已部署和落地应用的零信任方案,在整体应用满意度方面表现较好。在实际部署应用零信任方案的企业中,超过80%的受访者表示基本满意或者非常满意,仅有约两成(19.6%)的受访企业认为零信任产品/方案实际应用效果与期望值的匹配度不高,需要进一步改进。不满意的因素主要包括与业务匹配度不高、经常要求用户验证、策略配置和管理复杂、误报或漏报较高、对业务连续性影响以及告警联动能力不足等。
图6零信任技术使用满意度
7、调研发现,当前零信任网络建设在后期运营中会存在不同程度的问题和挑战,主要源自产品成熟度、运营复杂度及业务连续性等方面。
图7零信任网络运营的挑战
8、在策略管理复杂度方面,超过50%的受访者表示零信任策略管理复杂度较高,仅靠安全运营团队难以胜任此项工作,需要设置即懂业务又懂安全的专人专岗来负责相关工作。
图8零信任策略管理复杂度的调查
9、调查数据显示,90%以上的受访者表示在开展零信任安全建设时存在一定的困难和挑战。其中,75%的受访者认为挑战主要因为对零信任相关产品成熟度不够了解;而有57%的受访者则担心零信任安全建设难以得到企业领导层的支持和业务部门的全力配合。
图9零信任落地建设挑战
10、在本次调研中,所有受访者都认为组织应该采用零信任理念构建新型网络安全能力,但目前阶段,有28.6%的受访者表示对零信任技术应用还需要进一步调研论证;34%的受访者认为可以审慎采用,边实践边探索;而有38%的受访者认为可以积极采用,通过分场景、分阶段逐步落实。
图10企业对零信任网络安全能力构建的观点
11、本次调研发现,在零信任方案采购方面,国内企业组织更多关注产品的成熟度、互联互通性、技术先进性、落地可行性以及安全响应和服务能力,而对采购成本和服务商品牌的关注度并不是很高。其中,产品成熟度和互联互通能力是本次调查中受访企业最为关注的零信任方案选型因素。
图11企业零信任方案选型时的关注指标
12、关于零信任网络构建的优先原则,50%以上的受访者表示企业会以自建为主,这样与业务契合可以更灵活;34%的受访者表示会优先选择第三方服务,可以释放更多的精力投放在业务上;11%的受访者表示对成本更敏感,会以成本优先。
图12构建零信任网络的优先原则