If you’ve fallen for one of these myths,you may need to rethink your zero trust strategy.
根据 IDG 的 2020 年安全优先级研究,对零信任的兴趣正在激增,40% 的调查受访者表示他们正在积极研究零信任技术,而 2019 年这一比例仅为 11%,18% 的组织表示他们已经拥有零信任解决方案,是 2018 年 8% 的两倍多。另外 23% 的受访者计划在未来 12 个月内部署零信任。
但Forrester分析师史蒂夫•特纳(Steve Turner)指出,在他最近与企业客户的交谈中,有50%-70%的人完全误解了零信任的基本概念和原则,“因为营销炒作已经占据了上风。”他补充说:“当我们把事情带回现实并告诉他们他们所处的位置时,围绕零信任有五个悲伤阶段;意识到你所拥有的并不是你想象的那样。”
以下是与零信任相关的一些常见神话和误解。
01 误解:零信任解决了技术问题
零信任不能解决技术问题;它解决了一个业务问题。“第一步是坐下来了解您要解决的业务问题,”特纳说。
创建零信任模型的前 Forrester 分析师 John Kindervag 也强调需要关注业务成果,建议 CISO 参与其中。“如果你不了解你的业务需求,你就会失败。”他说。
PS:事实是还没了解就强行科普,最后往往烂尾,不解决问题。
02 误解:零信任是一个产品或一组产品
关于零信任的一个常见误解是,如果您部署了身份管理、访问控制和网络分段,那么您就已经成功实施了零信任。 Kindervag 目前是托管安全服务提供商 ON2IT 的网络安全战略高级副总裁,他解释说零信任不是一套产品或一套策略。“这是一项旨在阻止数据泄露的战略举措。” Burkhardt 将其描述为用于构建安全技术环境的“一组原则”。
“没有人可以向您出售零信任解决方案”埃森哲 CISO Kris Burkhardt 补充道。“如果您希望购买产品以达到零信任,那么您就问错了问题。”
Steve Turner说,他一直在与购买产品的客户交谈,这些客户承诺零信任,但“他们没有改变对任何事情的态度。” 该组织没有对数据进行分类;它仍然有拥有过多特权的员工、供应商和承包商;它没有识别关键资产或改变网络流量。
PS:把某些安全产品等同于零信任的是一种别有用心的无知。
03 误解:零信任意味着您不信任自己的员工
Kindervag 解释说,零信任方法的目的不是让系统可信;这是关于从 IT 系统中消除信任的概念。“信任是一种在数据泄露中被利用的漏洞。我们并不是要让系统受到信任。”
这有时会被误解为公司突然不信任其员工。CISO 需要解释这不是针对个人的;这相当于需要一张钥匙卡才能进入大楼。最终目标是防止数据泄露,这会影响公司的每个人。
04 误解:零信任难以实施
Kindervag 对零信任很难做到的想法感到愤怒。“这是那些不希望你这样做的人创造的神话,因为它会扼杀他们的纵深防御模型。”他认为零信任并不复杂,当然也不会比公司已经在做的更昂贵——而且这甚至没有考虑数据泄露的成本。
Steve Turner同意现在实施零信任容易得多:工具本身已经改进,供应商现在正在跨产品线进行协作。他补充说:“今天,在没有那么多投资的情况下完成工作要容易得多。”
PS:协作是需要多么大的“牺牲精神”。
05 误解:开始零信任之旅的正确方法只有一种
Steve Turner说,随着时间的推移,出现了两种开始使用零信任的方法:安全方面和身份管理方面。一些组织从身份开始,并迅速部署多因素身份验证,从而提供“最简单、最快的胜利”。
Steve Turner说,其他组织采用以网络为中心的方法,首先解决微分段问题,这可能更具挑战性。
PS:反网络钓鱼的多因素身份验证也将成为美国联邦政府安全基线中的重要组成部分。
06 误解:部署 SASE 意味着我有零信任
SASE 最近已成为一种倾向于使用零信任的流行方式,因为它是一种将安全控制置于云中的服务。但是,SteveTurner指出,在大流行初期混乱的情况下,许多公司转向了 SASE,以解决员工在家工作的紧迫问题。
SASE 在边缘解决了零信任,但随着员工搬回公司办公室,组织意识到他们仍在使用传统的边界安全概念进行操作。“SASE 解决方案不是为混合模型构建的,”SteveTurner说。“现在组织需要回到绘图板”并将零信任应用为企业范围的战略。
——数据来源:安全红蓝紫 微信公众号