零信任六大误解

业界对零信任的关注与日俱增。IDG《2020年安全重点研究》中的数据表明，40%的受访者主动研究零信任技术，相比2019年的仅11%可谓是飙升；而18%的受访企业已经部署了零信任解决方案，这一比例是2018年8%的两倍还多。另有23%的受访者计划在未来一年里部署零信任。

但是最近，佛瑞斯特研究所分析师Steve Turner在与企业客户的对话中发现，“由于市场炒作盖过了理性的声音”，多达50%-70%的客户完全误解了零信任的基本概念和原则。

他补充道：“当我们立足现实，指出他们目前的处境，在零信任问题上他们就会开始经历悲伤的五个阶段了：认识到自己手里的零信任并非自己想象的那样。”

关于零信任，目前普遍存在如下几种迷思和误解。

误解1：零信任解决的是技术问题

零信任解决的可不是技术问题，而是业务问题。Turner表示：“第一步就是坐下来好好理清自己想要解决哪些业务问题。”

提出零信任模型的前佛瑞斯特分析师John Kindervag也强调要重视业务成果，并建议首席信息安全官（CISO）让业务部门也参与进来。“如果不了解公司的业务需求，怎么可能获得成功？”

误解2：零信任是一款产品或产品组合

很多人都误以为，只要部署了身份管理、访问控制和网络分隔，就顺理成章地成功实现了零信任。但托管安全服务提供商ON2IT网络安全战略高级副总裁Kindervag指出，事情并非如此简单，零信任不仅仅是一套产品或一组策略，“而是旨在阻止数据泄露的战略计划”。身为咨询公司埃森哲首席信息安全官，Kris Burkhardt则将零信任描述为用于构建安全技术环境的“一套原则”。

Burkhardt补充道：“没人能卖给你一套零信任解决方案。如果你指望买套产品来实现零信任，那你就走错路线了。”

佛瑞斯特分析师Turner在与客户的交流中发现，有些客户虽然购买了号称能实现零信任的产品，但这些产品“丝毫没有改变他们的安全方法”：公司依然未分类数据，也没有识别关键资产或改变网络流；员工、供应商和承包商也仍旧拥有过多的权限。

误解3：零信任意味着不信任公司员工

Kindervag解释道，零信任方法并不是为了让系统可信，而是要从IT系统中消除信任的概念。“信任就是个漏洞，数据泄露事件之所以会发生，往往是系统中的信任遭到了利用。我们并不是要让系统变得可信。”

但这一点有时候会被误解为公司突然就不信任自己的员工了。所以，CISO需要做好解释工作，声明零信任方法并不针对个人，而是跟要求刷卡进门没什么两样。实施这一方法的最终目的是为了防止数据泄露，让公司每一位员工免遭其害。

误解4：零信任难以实现

Kindervag对零信任难以实现的想法嗤之以鼻。“这不过是不想你这么做的人生造出来的谣言而已，因为零信任会干掉他们的深度防御模型。”Kindervag认为，零信任并不复杂，而且显然没有公司现行的安全方法那么昂贵——这还是在没考虑数据泄露事件成本的情况下。

在零信任实现难度问题上，Turner持有相同的观点。他认为，现在实现零信任比以前容易多了：这些工具本身就改进不少，供应商如今也在跨产品线协作。“现在不需要太多投资就能轻松搞定。”

误解5：通往零信任的正确道路只有一条

Turner表示，随着时间推移，出现了两条开启零信任旅程的道路：从安全侧出发和从身份管理侧出发。有些公司从身份管理入手，迅速部署多因素身份验证措施，“简单快速地直通罗马”。

另一些公司则采取以网络为中心的方法，先进行略有点难度的微分隔。

误解6：部署SASE就意味着拥有了零信任

作为将安全控制置于云端的服务，安全访问服务边缘（SASE）最近成为了迈向零信任的流行方式。然而，Turner指出，很多公司在新冠疫情初期的一片混乱中匆忙上马SASE，不过是为了解决员工居家办公的迫切问题而已。

SASE可以解决边缘位置的零信任问题，但随着员工回到办公场所，公司就会意识到自己仍在按照传统的边界安全概念运作。Turner表示：“SASE解决方案本就不是为混合模式而生的。现在公司应该从头开始，将零信任作为全面战略在整个公司范围内铺开。”