零信任没有速成解决方案

  • A+
所属分类:安全闲碎

时至今日,关于“零信任”概念仍然存在种种定义层面的误解与争议。零信任不是一种产品或者平台,而是一种强调“永不信任、始终验证”以及“谁违规、谁担责”原则的安全框架。


零信任没有速成解决方案

因此,任何指望直接购买“零信任产品”的组织,都必然遭遇失败的命运。

供应商总有不计其数的销售手段,特别善于把自己的安全解决方案、平台甚至是功能部件描述成“零信任”的代表。似乎只要买了他们的产品,您的安全需求就能得到满足。但这显然是种误解,而且那些把“零信任”喊得特别响亮的安全厂商,自己都没能做到零信任。

01

01 不存在快速实现零信任的捷径


零信任的实现道路复杂且漫长,甚至很难定义明确的起点。为了给大家带来一点启发,本文希望从实现角度整理出一份实现零信任的方向指引。首先,千万不要指望买下某些产品就能马上实现零信任——根本就不可能。

组织需要制定达成零信任架构的战略,这套架构的涵盖范围应该超越纯技术与宣传流行语。零信任扩展(ZTX)生态系统就是个典型示例,这样的生态系统至少需要:

  1. 评估现有安全程序的“零信任”成熟度(人员、技能、技术、能力等),包括理解人们的工作方式、现有业务流程的实现方式、与现有技术能力的映射状态以及欠缺之处。
  2. 将成熟度评估结果与ZTX框架映射起来,了解组织在哪些方面表现出色、在哪些方面仍有不足,然后梳理出需要改进的部分。
  3. 考虑引入新的工具与技术改进这些不足,并将零信任战略引入现有业务、IT以及安全项目当中。

02

02 零信任不是某个工具或平台,而是一种安全框架


ZTX是一种同时囊括技术与非技术部分的生态系统。传统方案中的明确保护边界与安全实施策略往往不够灵活,大多由彼此隔绝的单体式解决方案设计而成。与之相反,零信任更多强调持续进行的安全审查与安全态势优化。

零信任没有速成解决方案

零信任的这种灵活性与集成性,帮助企业轻松适应业务变化。但企业对于安全厂商的宣传内容应保持审慎,深入了解产品的具体细节,并及时发现其中太过完美、不够可信的描述与承诺。

要求安全厂商解答关于产品的问题,例如他们展示的功能该如何嵌入ZTX生态系统。如果得不到答案,对方很可能根本就不了解零信任的本质。无论具体回应如何,安全厂商都至少要承认这样一项事实:零信任在不同的组织内对应不同的流程,任何一款现成产品都不可能一夜之间实现零信任。这种将解决方案宣扬为实现零信任捷径的行为,完全就是虚假广告案例,最终也只会令客户身陷失败的泥潭。

03

03 零信任不是一场冲刺,而是一段漫长的旅程


拨开炒作与虚假宣传的迷雾,我们最终还是要把零信任引导落地。零信任应该是一种新的常态。

COVID-19疫情大大改变了我们的工作方式,并迫使众多组织加快自身数字化转型与安全策略。通过认真研究这些安全解决方案是否适合ZTX生态系统中的各项原则性支柱,特别是能否匹配组织内的整体零信任战略,我们才能准确判断安全厂商的产品到底靠不靠谱。

零信任没有速成解决方案

总而言之,安全产品应该帮助组织在改善员工体验的同时达成“零信任”,而不只是业务发展道路上的又一块打着“保护”旗号的顽石。

原文链接:

https://www.zdnet.com/article/zero-trust-is-not-a-security-solution-its-a-strategy/


本文部分图片来自于网络,侵删。


零信任没有速成解决方案

零信任没有速成解决方案

本文始发于微信公众号(互联网安全内参):零信任没有速成解决方案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: