虽然零信任网络访问(ZTNA)的价值和重要性在今天怎么强调都不为过,但在实施过程中却屡屡失败,尤其是对于中小企业而言。零信任往往难以建立和维护,而零信任的安全承诺非常有吸引力,但对于很多人来说,这种做法已变得行不通。重新审视零信任表明它不必那么复杂。事实上,零信任可以应用于企业现有的安全解决方案,而不是作为一个独立的解决方案或一个难以掌握的全新解决方案来实施。影响零信任实施成败的三大因素,令人惊讶的是,它们不是神秘的技术细节,而是管理原则。1.是否为零信任铺路?影响零信任实施成败的第一个因素是整体复杂性。人们经常注意到,复杂性是影响安全性的主要因素。过于复杂和困难的解决方案和策略将不起作用,并且会促进绕过解决方案或实践的变通方法。员工在显示器上贴上带有密码的便条就是一个很好的例子,作为应对严格密码政策的一种方式。从解决方案或架构的角度来看,向现有解决方案添加零信任(只要它满足要求)有助于降低复杂性。无需安装、维护和跟上变化、减轻员工工作量的另一个系统或工具是另一件必须处理的事情。扩展现有的、熟悉的系统以提供零信任是非常可取的。一些安全套件或平台已经或将包含全面的零信任服务。托管网络安全服务还可以将零信任与其产品捆绑在一起。即使是面向SMB的现代VPN也已经或将采用相对简单的方法来实现零信任状态。2、是否适应当前环境影响零信任实施成败的第二个因素是是否适应当今的云计算环境,这涉及到分布式组织的适应性。如果零信任架构要求组件部署在完全受控的网络上,或者基于传统网络和数据中心,它可能会阻碍部署的成功。如果SaaS应用程序、数据和资源的公共云的使用以及主要或完全远程工作人员的普遍存在没有得到充分适应,零信任解决方案注定会失败。如果要实现零信任,还必须适应Web3和Metaverse技术。研究公司Gartner在其GartnerITSymposium/Xpo2022上预测,“到2027年,完全虚拟的工作空间将占企业对元宇宙技术投资增长的30%,并将‘重新构想’办公体验。”零信任失败可能是一个“无法从这里到达那里”的问题,阻止了必要的工作或信息流的发生。它也可能过于复杂,阻碍或限制员工的自然工作方式。根据最近的Verizon移动安全指数报告,66%的受访者预计必须牺牲安全性才能满足业务或工作要求。另有79%的人表示,他们已经不得不做出此类权衡,以满足最后期限或目标。这意味着要成功实施零信任,它不得影响生产力,并且必须符合现有的工作方式、工作流程和期望。3.应对未知威胁的能力影响零信任实施成功与否的第三个因素是应对有意和无意威胁的能力。零信任不仅仅是传统意义上的访问或经过验证的身份和授权。虽然这些方面当然很关键,但还有其他方面有助于实现零信任。零信任必须阻止恶意行为,但也必须阻止完全意外的行为。例如,分配或使用固定IP地址的能力有助于确保对用户及其尝试访问的资源有更大的确定性。另一个方面可能是加密隧道如何开始和结束,是作为VPN还是作为应用程序(例如电子邮件或CRM)与用户之间通信的一部分。漏洞可能导致网络攻击,网络攻击者可以通过这些攻击来规避零信任保护。另一个方面可能是需要一种自动化方法来对用户的访问设备执行状态检查,以确保它满足所需的安全标准。零信任实施失败不是一种选择除了上述三个因素之外,成功或失败可能取决于对企业完整攻击面或员工和部门协作模型等事物的清晰理解。零信任架构可能无法正确识别现有数据流或业务流程。不能同时保护和促进这些东西,永远意味着失败。未能实施零信任很少是企业能够承受的选择。随着数据泄露事件的不断升级以及对泄露事件的处罚升级到业务关键级别,大多数人认为零信任是必要的。毫无疑问,零信任项目的失败将与其他IT失败相提并论。根据SmartInsights发布的调查数据,在企业实施的项目中,63%的CRM项目失败,70%的营销自动化项目失败,84%的业务转型失败。尽管如此,零信任实施的失败并不一定是不可避免的悲剧。通过重新思考零信任的实施方式并将其集成到现有系统、基础设施、工作方式和预期的未来变化中,可以大大提高零信任实施的成功率。
