《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 零信任沒(méi)有速成解決方案

零信任沒(méi)有速成解決方案

2021-02-23
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 零信任

  時(shí)至今日,關(guān)于“零信任”概念仍然存在種種定義層面的誤解與爭(zhēng)議。零信任不是一種產(chǎn)品或者平臺(tái),而是一種強(qiáng)調(diào)“永不信任、始終驗(yàn)證”以及“誰(shuí)違規(guī)、誰(shuí)擔(dān)責(zé)”原則的安全框架。

  因此,任何指望直接購(gòu)買“零信任產(chǎn)品”的組織,都必然遭遇失敗的命運(yùn)。

  供應(yīng)商總有不計(jì)其數(shù)的銷售手段,特別善于把自己的安全解決方案、平臺(tái)甚至是功能部件描述成“零信任”的代表。似乎只要買了他們的產(chǎn)品,您的安全需求就能得到滿足。但這顯然是種誤解,而且那些把“零信任”喊得特別響亮的安全廠商,自己都沒(méi)能做到零信任。

  01 不存在快速實(shí)現(xiàn)零信任的捷徑

  零信任的實(shí)現(xiàn)道路復(fù)雜且漫長(zhǎng),甚至很難定義明確的起點(diǎn)。為了給大家?guī)?lái)一點(diǎn)啟發(fā),本文希望從實(shí)現(xiàn)角度整理出一份實(shí)現(xiàn)零信任的方向指引。首先,千萬(wàn)不要指望買下某些產(chǎn)品就能馬上實(shí)現(xiàn)零信任——根本就不可能。

  組織需要制定達(dá)成零信任架構(gòu)的戰(zhàn)略,這套架構(gòu)的涵蓋范圍應(yīng)該超越純技術(shù)與宣傳流行語(yǔ)。零信任擴(kuò)展(ZTX)生態(tài)系統(tǒng)就是個(gè)典型示例,這樣的生態(tài)系統(tǒng)至少需要:

  評(píng)估現(xiàn)有安全程序的“零信任”成熟度(人員、技能、技術(shù)、能力等),包括理解人們的工作方式、現(xiàn)有業(yè)務(wù)流程的實(shí)現(xiàn)方式、與現(xiàn)有技術(shù)能力的映射狀態(tài)以及欠缺之處。

  將成熟度評(píng)估結(jié)果與ZTX框架映射起來(lái),了解組織在哪些方面表現(xiàn)出色、在哪些方面仍有不足,然后梳理出需要改進(jìn)的部分。

  考慮引入新的工具與技術(shù)改進(jìn)這些不足,并將零信任戰(zhàn)略引入現(xiàn)有業(yè)務(wù)、IT以及安全項(xiàng)目當(dāng)中。

  02 零信任不是某個(gè)工具或平臺(tái),而是一種安全框架

  ZTX是一種同時(shí)囊括技術(shù)與非技術(shù)部分的生態(tài)系統(tǒng)。傳統(tǒng)方案中的明確保護(hù)邊界與安全實(shí)施策略往往不夠靈活,大多由彼此隔絕的單體式解決方案設(shè)計(jì)而成。與之相反,零信任更多強(qiáng)調(diào)持續(xù)進(jìn)行的安全審查與安全態(tài)勢(shì)優(yōu)化。

  零信任的這種靈活性與集成性,幫助企業(yè)輕松適應(yīng)業(yè)務(wù)變化。但企業(yè)對(duì)于安全廠商的宣傳內(nèi)容應(yīng)保持審慎,深入了解產(chǎn)品的具體細(xì)節(jié),并及時(shí)發(fā)現(xiàn)其中太過(guò)完美、不夠可信的描述與承諾。

  要求安全廠商解答關(guān)于產(chǎn)品的問(wèn)題,例如他們展示的功能該如何嵌入ZTX生態(tài)系統(tǒng)。如果得不到答案,對(duì)方很可能根本就不了解零信任的本質(zhì)。無(wú)論具體回應(yīng)如何,安全廠商都至少要承認(rèn)這樣一項(xiàng)事實(shí):零信任在不同的組織內(nèi)對(duì)應(yīng)不同的流程,任何一款現(xiàn)成產(chǎn)品都不可能一夜之間實(shí)現(xiàn)零信任。這種將解決方案宣揚(yáng)為實(shí)現(xiàn)零信任捷徑的行為,完全就是虛假?gòu)V告案例,最終也只會(huì)令客戶身陷失敗的泥潭。

  03 零信任不是一場(chǎng)沖刺,而是一段漫長(zhǎng)的旅程

  撥開(kāi)炒作與虛假宣傳的迷霧,我們最終還是要把零信任引導(dǎo)落地。零信任應(yīng)該是一種新的常態(tài)。

  COVID-19疫情大大改變了我們的工作方式,并迫使眾多組織加快自身數(shù)字化轉(zhuǎn)型與安全策略。通過(guò)認(rèn)真研究這些安全解決方案是否適合ZTX生態(tài)系統(tǒng)中的各項(xiàng)原則性支柱,特別是能否匹配組織內(nèi)的整體零信任戰(zhàn)略,我們才能準(zhǔn)確判斷安全廠商的產(chǎn)品到底靠不靠譜。

  總而言之,安全產(chǎn)品應(yīng)該幫助組織在改善員工體驗(yàn)的同時(shí)達(dá)成“零信任”,而不只是業(yè)務(wù)發(fā)展道路上的又一塊打著“保護(hù)”旗號(hào)的頑石。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。