如果您的组织陷入其中的一些误区,您可能需要重新考虑您的零信任策略。IDG发布的《2020年安全优先研究》调查报告显示,人们对零信任的兴趣正在飙升,40%的受访者表示正在积极研究零信任技术,而2019年这一比例仅为11%和18%。已经制定了零信任解决方案,比2018年的8%增加了一倍多。另有23%计划在未来12个月内实施零信任。Forrester分析师SteveTurner指出,在他最近与一些企业客户的交流和沟通中,他发现其中50%到70%的人完全误解了零信任的基本概念和原则,这主要是因为市场炒作已经占据了上风地位。他补充说:“当我们告诉他们关于零信任的五个神话和误解时,他们需要意识到他们所拥有的并不像他们想象的那么安全。”以下是与零信任相关的一些常见迷思:迷思一:零信任可以解决技术问题事实上,零信任不能解决技术问题,只能解决业务问题。“企业的第一步是了解它要解决的业务问题是什么,”特纳说。创建零信任模型的前Forrester分析师JohnKindervag也强调需要关注业务成果,并建议首席信息安全官。让业务团队参与进来。“如果你不知道你的业务需要什么,你就会失败,”他说。误区二:零信任是一个产品或一组产品关于零信任的一个常见误解是,如果企业部署了身份管理,接入网络分段措施,那么就可以成功实现零信任。托管安全服务提供商ON2IT的网络安全战略高级副总裁Kindervag解释说,零信任不是一套产品或一套政策。“这是阻止数据泄露的战略举措,”他说。Burkhardt将其描述为一套构建安全技术环境的原则。埃森哲首席信息官KrisBurkhardt补充说:“没有人可以为您提供零信任解决方案。如果您希望购买产品以获得零信任,那么您问错了问题。”特纳说,他一直在与一些购买产品的客户交谈,这些客户购买的产品需要供应商承诺它是零信任的,但他们没有改变任何东西,比如不对数据进行分类,仍然拥有特权员工、供应商和承包商,以及未能识别关键资产或改变网络流量。误区3:零信任意味着不信任您自己的员工Kindervag解释说,零信任方法的重点不是让系统值得信赖;它是关于从IT系统中删除信任的概念。他说,“信任是在数据泄露中被利用的漏洞。我们不希望IT系统受到信任。”这有时会被误解为企业不信任员工。CIO需要解释这不是个人行为,就像员工需要钥匙卡才能进入大楼一样。最终目标是防止数据泄露,这会影响企业中的每个人。误区4:零信任难以实现Kindervag驳斥了零信任难以实现的观点。“这是不想让你这样做的人编造的神话,因为它破坏了他们的纵深防御模型,”他指出。零信任并不复杂,而且肯定不会比公司已经采取的步骤更昂贵,这就是原因。这甚至没有考虑数据泄露的成本。特纳认为,现在实现零信任要容易得多:工具本身已经改进,供应商现在正在跨产品线进行协作。他补充说,“现在不用那么多投资就可以更容易地完成工作。”误区5:开始零信任之旅只有一种正确方法开始零信任之旅的方法:安全方面和身份管理方面。一些企业从身份管理开始,然后快速部署多因素身份验证,以获得最简单、最快的成功。Turner说,其他采用以网络为中心的安全方法并首先解决微分段问题的企业可能更具挑战性。误区6:部署SASE意味着不信任安全访问服务边缘(SASE)最近成为通向零信任之旅的一种流行方式,因为它是一种将安全控制置于云中的服务。然而,特纳指出,在COVID-19大流行的早期破坏中,许多企业采用了安全访问服务边缘(SASE)技术来解决员工在家工作的紧迫问题。安全访问服务边缘(SASE)解决了边缘的零信任问题,但随着一些员工返回办公室,企业意识到他们仍在使用传统的边界安全概念。“SASE解决方案不适用于混合工作模式。现在企业需要重新开始并将零信任作为企业范围的战略,”特纳说。
