如果企业已经陷入了一些误区,可能需要重新考虑零信任策略。
根据IDG公司发布的一份名为《2020年安全优先研究》的调查报告,人们对零信任的兴趣正在飙升,40%的受访者表示他们正在积极研究零信任技术,而在2019年只有11%,18%的企业表示他们已经有了零信任解决方案,是2018年8%的两倍多。另有23%的受访者计划在未来12个月内实现零信任。
Forrester公司的分析师Steve Turner指出,在他最近与一些企业客户的沟通和交流中,发现50%~70%的人完全误解了零信任的基本概念和原则,这主要因为市场炒作已经占据了主导地位。
他补充道:“当我们告诉他们有关零信任有五个误区和误解时,他们需要意识到所拥有的并不是想象的那样安全。”
以下是一些与零信任有关的常见误区:
误区1:零信任能够解决技术问题
事实上,零信任不能解决技术问题,只是解决业务问题。Turner说:“企业的第一步需要了解试图解决的业务问题是什么。”
Forrester公司前分析师John Kindervag创建了零信任模型,他也强调关注业务结果的必要性,建议企业的首席信息安全官让业务团队参与进来。他说,“如果不知道自己的业务需求,就会面临失败。”
误区2:零信任是一种产品或一组产品
关于零信任的一个常见误解是,如果企业部署了身份管理、访问控制和网络分段措施,那么就成功地实现了零信任。托管安全服务提供商ON2IT公司的网络安全策略高级副总裁Kindervag解释说,零信任并不是一套产品或一套策略。他说,“这是一项旨在阻止数据泄露的战略举措。”Burkhardt将其描述为一套用于构建安全技术环境的原则。
埃森哲公司首席信息官Kris Burkhardt补充说:“没有人能够为你提供零信任的解决方案。如果你希望购买一种产品以获得零信任,那你就问错了问题。”
Turner说,他一直在与一些客户沟通,这些客户在购买一款产品时需要厂商承诺它是零信任的,但他们没有改变任何做法,例如没有对数据进行分类,仍然有拥有特权的员工、供应商和承包商,也没有识别关键资产或改变网络流量。
误区3:零信任意味着不信任自己的员工
Kindervag解释说,零信任方法的目的不是使系统可信;这是关于从IT系统中消除信任的概念。他说,“信任是一种在数据泄露时被利用的漏洞。我们不想让IT系统受到信任。”
这有时会被误解为企业不信任员工。首席信息官需要解释这不是针对个人的行为,这与员工需要采用门禁卡才能进入大楼一样。最终目标是防止数据泄露,这将影响到企业的每个人。
误区4:零信任很难实现
Kindervag驳斥了零信任很难实现的想法。他指出,“这是那些不希望你这么做的人创造的误区,因为这会摧毁他们的深度防御模式。”零信任并不复杂,当然也不会比企业已经采取的措施代价更高昂,这甚至还没有考虑到数据泄露的成本。
Turner认为,现在实现零信任要容易得多:工具本身已经得到了改进,供应商现在正在跨产品线合作。他补充说,“如今在没有那么多投资的情况下,完成工作要容易得多。”
误区5:开始零信任之旅只有一种正确的方法
Turner表示,随着时间的推移,出现了两种开始零信任之旅的方法:安全方面和身份管理方面。一些企业从身份管理开始,迅速部署多因素身份验证,从而获得最简单、最快速的胜利。
Turner说,其他企业采取以网络为中心的安全方法,首先解决微分段问题,这可能更具挑战性。
误区6:部署SASE意味着没有信任
安全访问服务边缘(SASE)最近成为了一种走向零信任之旅的流行方式,因为它是一种将安全控制放在云中的服务。然而,Turner指出,在新冠疫情初期带来的混乱中,许多企业采用安全访问服务边缘(SASE)技术,以解决员工在家工作的紧迫问题。
安全访问服务边缘(SASE)解决了边缘地带的零信任问题,但随着一些员工重返办公室,企业意识到他们仍在使用传统的外围安全概念。Turner 说:“SASE解决方案并不适用于混合工作模式。现在企业需要重新开始,并将零信任作为一种企业范围的战略。”