一直以來(lái)，政府及相關(guān)企業(yè)組織在開(kāi)展零信任建設(shè)方面存在很多疑問(wèn)和顧慮，這阻礙了零信任技術(shù)的應(yīng)用落地。為此，美國(guó)國(guó)家安全電信咨詢(xún)委員會(huì)（NSTAC）在2021年底向美國(guó)政府提交了《零信任和可信身份管理報(bào)告》（以下簡(jiǎn)稱(chēng)《報(bào)告》）。這份報(bào)告詳細(xì)回顧了零信任發(fā)展史，并通過(guò)總結(jié)諸多零信任項(xiàng)目、指引和要求，梳理了零信任實(shí)施中面臨的關(guān)鍵挑戰(zhàn)和要求，以及企業(yè)組織在開(kāi)展零信任建設(shè)中需要特別關(guān)注的八個(gè)要點(diǎn)。

　　要點(diǎn)1：零信任需要長(zhǎng)期的承諾

　　《報(bào)告》認(rèn)為，確認(rèn)零信任是一項(xiàng)變革性的工作，政府和其他組織需要承諾至少十年的投入。這包括改變行業(yè)和組織政策，以推動(dòng)零信任文化，并開(kāi)始從根本上重新設(shè)計(jì)組織的技術(shù)系統(tǒng)架構(gòu)?！秷?bào)告》提醒用戶(hù)提防那些宣稱(chēng)可以讓組織一夜之間就能實(shí)現(xiàn)“零信任”的廠商。

　　要點(diǎn)2：使用可靠的零信任指導(dǎo)

　　如果想了解零信任，不妨參閱已頒布的指南和出版物。這包括《NIST 800-207：零信任架構(gòu)》、美國(guó)國(guó)防部《零信任參考架構(gòu)》、美國(guó)國(guó)家安全局（NSA）的《擁抱零信任安全模型》、美國(guó)網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施局（CISA） 的《零信任成熟度模型》以及美國(guó)行政管理和預(yù)算局（OMB）的《聯(lián)邦零信任戰(zhàn)略》等。

　　要點(diǎn)3：制定科學(xué)的實(shí)施計(jì)劃

　　與其他任何長(zhǎng)期的戰(zhàn)略項(xiàng)目一樣，零信任項(xiàng)目建設(shè)前也需要制定科學(xué)的實(shí)施計(jì)劃。NSTAC指南列出了零信任實(shí)施的五個(gè)步驟：界定保護(hù)范圍、映射事務(wù)流、構(gòu)建零信任架構(gòu)、制定零信任策略以及監(jiān)控和維護(hù)網(wǎng)絡(luò)。這既強(qiáng)調(diào)了實(shí)施零信任是耗費(fèi)時(shí)間的迭代過(guò)程，也暗示了零信任能夠輕松獲得的錯(cuò)誤觀點(diǎn)。

　　要點(diǎn)4：零信任戰(zhàn)略與合規(guī)要求相一致

　　推動(dòng)零信任是一個(gè)繁瑣的過(guò)程，需要投入資金、時(shí)間和人力，孤立地實(shí)施零信任只會(huì)增添工作量?！秷?bào)告》強(qiáng)調(diào)需要明確零信任戰(zhàn)略和現(xiàn)有的合規(guī)要求，并確保兩者相一致。如果兩者不一致，組織注定會(huì)失敗。隨著組織開(kāi)始竭力重新設(shè)計(jì)系統(tǒng)和網(wǎng)絡(luò)架構(gòu)以適應(yīng)零信任，可能需要再次做好合規(guī)和授權(quán)工作。如果在這種情況下不實(shí)施自動(dòng)化，組織將被同時(shí)開(kāi)展的兩項(xiàng)工作搞得疲憊不堪。

　　要點(diǎn)5：設(shè)立零信任項(xiàng)目辦公室

　　《報(bào)告》的另一項(xiàng)重要建議是需要設(shè)立零信任項(xiàng)目辦公室，并在關(guān)鍵領(lǐng)域盡量使用共享服務(wù)。美國(guó)國(guó)防部最近宣布設(shè)立零信任項(xiàng)目辦公室。NSTAC呼吁聯(lián)邦政府仿而效之，以專(zhuān)門(mén)成立一個(gè)部門(mén)來(lái)統(tǒng)管實(shí)施指南、架構(gòu)和戰(zhàn)略手冊(cè)等。這樣一來(lái)，各政府部門(mén)可以借助該辦公室加快實(shí)施各自在零信任方面的獨(dú)立工作。商業(yè)組織（企業(yè)界），尤其是不同業(yè)務(wù)部門(mén)常常各行其是的大企業(yè)，可以像政府部門(mén)那樣設(shè)立零信任項(xiàng)目辦公室。

　　要點(diǎn)6：使用云服務(wù)以加快采用零信任

　　推動(dòng)零信任也離不開(kāi)云服務(wù)，NSTAC表示“更快地采用云服務(wù)將大大加快聯(lián)邦機(jī)構(gòu)采用零信任”，其優(yōu)勢(shì)涉及數(shù)據(jù)、身份和自動(dòng)化等方面。云采用還可以幫助機(jī)構(gòu)和組織應(yīng)對(duì)遠(yuǎn)程員工隊(duì)伍壯大的情形。

　　要點(diǎn)7：有效的身份管理是零信任成功的關(guān)鍵

　　《報(bào)告》還強(qiáng)調(diào)了有效的身份管理對(duì)于零信任的重要性，這包括個(gè)人身份和非個(gè)人實(shí)體身份的管理?！秷?bào)告》強(qiáng)調(diào)了需要這樣的現(xiàn)代身份管理解決方案，即與組織所處的現(xiàn)代云原生和遠(yuǎn)程員工隊(duì)伍環(huán)境相一致的身份管理方案，具體可參閱《NIST 800-63-3：數(shù)字身份指南》。

　　要點(diǎn)8：針對(duì)某些功能共享安全服務(wù)

　　除了需要設(shè)立集中式項(xiàng)目辦公室外，《報(bào)告》還建議為特定功能（比如可訪(fǎng)問(wèn)互聯(lián)網(wǎng)的資產(chǎn)發(fā)現(xiàn)）共享安全服務(wù)。NSTAC《報(bào)告》指出，多種解決方案既導(dǎo)致管理復(fù)雜性，又使最終用戶(hù)在集成和磨合方面面臨挑戰(zhàn)，無(wú)疑會(huì)阻礙零信任的落地。IT/網(wǎng)絡(luò)安全共享服務(wù)可以為機(jī)構(gòu)和組織帶來(lái)諸多好處，包括成本/許可效率、增強(qiáng)可見(jiàn)性和提高效率。