需要“信任”的零信任

现在的零信任已经从原本的概念上升到了一种哲学，每一个用户、每一台设备、每一条消息都被认为是不可信的，除非有其他证明。这是对于基于边界安全的一种改革，因为旧的边界频频被打破，所以我们看到了继续树立边界的难度，而零信任就是打破边界的一种方式，企业不再有边界可言，或者说处处充斥着边界。

当下，零信任技术和架构已经相对成熟，绝大多数的企业都或多或少地采用了零信任技术。如何进一步推动零信任架构的成熟，如何增强用户对于零信任的信心，是整个安全产业需要关注和解决的问题。

跨国技术公司思科（Cisco）发布的一份报告显示，近90%的企业已经开始采用零信任安全模式，但许多企业还有很长的路要走。该报告基于对全球 4700 名信息安全专业人士的调查，发现 86.5% 的企业已经开始实施零信任安全模式的某些方面，但只有 2% 的企业已经进行了成熟的部署。

报告指出，企业在开始收获零信任的好处之前，并不需要实施所有四大支柱。例如，完成身份支柱的组织发生勒索软件事件的可能性会降低近 11%。完成网络和工作负载支柱可将内部人员恶意滥用的可能性降低 9%。

根据需求零散地采用零信任技术是绝大多数企业向零信任架构转型的方法之一。这样做的好处在于可以控制成本的同时，小范围地体验零信任的效果。不仅降低了部分领域的安全风险，也降低了企业采用零信任架构的风险。

思科发现实施了全部四个支柱的组织仅占调查样本的2%。但同时，这2%的企业在安全方面的收益最大，与那些刚刚开始零信任之旅的企业相比，它们报告安全事件的可能性要低两倍。

这反映出一个问题，那就是绝大多数企业不会立刻贯彻零信任架构和理念，要么是因为遗留系统过于庞大，大跨步迈入零信任只会带来更大的风险，要么是整体预算不足，无法全面实施零信任。最后则是缺乏信心，谷歌、美联邦政府的实践无法打动他们，他们需要看到零信任取得更进一步的成就。

我国安全产业也关注到了这一点，中国信通院发布《零信任发展研究报告（2023年）》提到，用户肯定零信任的价值和理念，但在应用方面尚存顾虑。

前文提到，零信任是打破旧的，基于边界防御体系的新模式和新架构，这意味企业在落地方面面临着更多阻碍。首先，国内的零信任市场概念多、产品少，针对不同领域、不同行业的可使用产品则更加匮乏，用户认可的、好用的零信任产品屈指可数，在投入产出比的压力下，企业选择零信任的阻力非常大。

其次，零信任落地需要企业多个部门的协作与配合，需要明确流程和责任边界，这与以合规驱动为主、事件驱动为辅的安全运营体系格格不入。为什么国际上的实践案例不能打动我国的企业，就是因为安全部门没有足够的话语权。在多数人的眼中，安全部门就是一个“挑刺”的部门，即便是安全负责人打动了上级领导，也很难在企业内部开展零信任建设，

最后是技术层面的阻碍，基于零信任的统一身份管理体系在接管组织内老旧系统时面临技术与规划设计双重阻碍。除了泛互、金融等安全成熟度较高的行业以外，大多数行业的遗留系统非常复杂，甚至有部分主机还在使用XP或win7系统，更不用说那些只关注功能，不关注安全的IOT设备。想要打通这些系统，安全部门不仅需要整改企业内部，还要说服供应链上的其他企业一同调整，这几乎是不可能完成的任务。

虽然目前用户对于零信任缺乏信心，但已经有不少企业和行业选择零信任，并取得了一定的成绩。一方面，微隔离的应用在一定程度上带动了零信任市场的发展。有趣的是，采用微隔离的企业并不是因为其与零信任相关，而是看重其带来的宏观网络微观化能力。并且，随着使用时间的增长，微隔离在节省人力成本方面的作用愈发明显。应用系统内工作负载使用的标签以及安全隔离策略相对固定，标签配合工作负载的变化而变化，安全策略与业务系统本身的变化联动，最终可实现无人值守。

另一方面，企业通过使用零信任对敏感人员行为进行实时监测，降低了代码的流失率。同时，为设备分配唯一标识，并与身份信息绑定，实时监测设备安全状态，让资产管理精确到人。此外，通过零信任对终端的实时监测能力，实现了对个人的效能检测。通过这些方面的时间价值让用户肯定了零信任，也认可其能够为精细化安全策略的实施提供助力。

思科咨询公司首席信息安全官 J. Wolfgang Goerlich 指出，最新的调查结果反映出企业对零信任的认识和成熟度在不断提高。

Goerlich表示，在过去的研究中，很大一部分样本都说他们已经实现了零信任，并且一切顺利。针对零信任的技术堆栈，思科询问了受访者使用了哪些技术，部署了哪些零信任方面。结果显示，很大一部分人说他们部署了零信任，到 2% 的人说他们在所有支柱方面都取得了进展。这反映出安全和 IT 领导者对零信任的理解日趋成熟。

国内也是如此，在金融行业，已经有82.1%的企业应用过零信任，而在电信行业，这一数字是85.7%，应用率在3年时间里翻倍增长。此外，在产品方面，身份安全产品是当前零信任市场发力的重点，超七成供应商投入这一赛道，身份安全也成为当前最为火热的话题。

此前，受访者往往会说“我做了身份识别。我做得很好。”而现在，更多人在说“正在开始真正大力推动零信任，需要进一步的设备控制、网络覆盖以及自动化和协调。”Goerlich表示，企业对零信任了解得越多，就越觉得自己无法胜任零信任的工作。他们了解得越多，就越能意识到自己需要更进一步。

调查数据还表明，零信任的采用模式发生了变化。报告解释说，零信任的早期采用者是根据产品的功能来选择产品，而不是从他们所期望的结果或用例出发。如今，人们开始以结果为导向。当企业关注业务成果，而不是简单地将对话局限于产品和技术时，他们就会发现采用零信任的价值。

布鲁克斯国际咨询公司首席执行官表示，在实施零信任的过程中，没有放之四海而皆准的方法。因此，任何风险管理计划都应优先关注成果要求，包括 IAM、可视性、数据保护、弹性和事件响应。为了优化风险计划，它需要包括人员、流程和技术。选择什么样的技术和产品将取决于要求和任务。

吉利控股CIO执行助理成品耀表示，吉利控股集团的零信任建设是从 0 到 1 逐步建立起来的。在不大幅度改变原有网络框架及用户习惯的基础上，吉利控股集团的员工可随时随地地加速访问任何位置的内部应用，很大幅度提升员工体验及业务效率。同时，将零信任网络访问（ZTNA）能力原生融合进应用访问网络，所有内部应用对互联网完全隐身。在不改变员工体验及访问习惯的同时，大幅度降低办公应用被攻击的风险。

北汽福田集团基础设施及信息安全负责人张志强表示，其通过三个步骤完成了零信任的落地。

安全概念一开始只是流行语，后来逐渐被人们所接受，并逐渐成为一种惯例。

Goerlich 表示：“我们看到的情况是，人们不再问‘你是否做到了零信任？你们是否确保了我们并购的安全？你是否保护我们免受勒索软件的侵害？你是否让企业能够跟上不断变化的市场需求和威胁环境的变化？’既然我们已经确定了结果，我们就可以应用适当的技术和适当的支柱来实现这些结果。我们将继续看到零信任原则成为基本的安全原则。在我们前进的过程中，好的安全就是好的安全，而好的安全在每一层都应该包含一些零信任原则。”