根據IDG公司發布的一份名為《2020年安全優先研究》的調查報告,人們對零信任的興趣正在飆升,40%的受訪者表示他們正在積極研究零信任技術,而在2019年只有11%,18%的企業表示他們已經有了零信任解決方案,是2018年8%的兩倍多。另有23%的受訪者計劃在未來12個月內實現零信任。
Forrester公司的分析師Steve Turner指出,在他最近與一些企業客戶的溝通和交流中,發現50%~70%的人完全誤解了零信任的基本概念和原則,這主要因為市場炒作已經占據了主導地位。
他補充道:“當我們告訴他們有關零信任有五個誤區和誤解時,他們需要意識到所擁有的并不是想象的那樣安全。”
以下是一些與零信任有關的常見誤區:
誤區1:零信任能夠解決技術問題
事實上,零信任不能解決技術問題,只是解決業務問題。Turner說:“企業的第一步需要了解試圖解決的業務問題是什么。”
Forrester公司前分析師John Kindervag創建了零信任模型,他也強調關注業務結果的必要性,建議企業的首席信息安全官讓業務團隊參與進來。他說,“如果不知道自己的業務需求,就會面臨失敗。”
誤區2:零信任是一種產品或一組產品
關于零信任的一個常見誤解是,如果企業部署了身份管理、訪問控制和網絡分段措施,那么就成功地實現了零信任。托管安全服務提供商ON2IT公司的網絡安全策略高級副總裁Kindervag解釋說,零信任并不是一套產品或一套策略。他說,“這是一項旨在阻止數據泄露的戰略舉措。”Burkhardt將其描述為一套用于構建安全技術環境的原則。
埃森哲公司首席信息官Kris Burkhardt補充說:“沒有人能夠為你提供零信任的解決方案。如果你希望購買一種產品以獲得零信任,那你就問錯了問題。”
Turner說,他一直在與一些客戶溝通,這些客戶在購買一款產品時需要廠商承諾它是零信任的,但他們沒有改變任何做法,例如沒有對數據進行分類,仍然有擁有特權的員工、供應商和承包商,也沒有識別關鍵資產或改變網絡流量。
誤區3:零信任意味著不信任自己的員工
Kindervag解釋說,零信任方法的目的不是使系統可信;這是關于從IT系統中消除信任的概念。他說,“信任是一種在數據泄露時被利用的漏洞。我們不想讓IT系統受到信任。”
這有時會被誤解為企業不信任員工。首席信息官需要解釋這不是針對個人的行為,這與員工需要采用門禁卡才能進入大樓一樣。最終目標是防止數據泄露,這將影響到企業的每個人。
誤區4:零信任很難實現
Kindervag駁斥了零信任很難實現的想法。他指出,“這是那些不希望你這么做的人創造的誤區,因為這會摧毀他們的深度防御模式。”零信任并不復雜,當然也不會比企業已經采取的措施代價更高昂,這甚至還沒有考慮到數據泄露的成本。
Turner認為,現在實現零信任要容易得多:工具本身已經得到了改進,供應商現在正在跨產品線合作。他補充說,“如今在沒有那么多投資的情況下,完成工作要容易得多。”
誤區5:開始零信任之旅只有一種正確的方法
Turner表示,隨著時間的推移,出現了兩種開始零信任之旅的方法:安全方面和身份管理方面。一些企業從身份管理開始,迅速部署多因素身份驗證,從而獲得最簡單、最快速的勝利。
Turner說,其他企業采取以網絡為中心的安全方法,首先解決微分段問題,這可能更具挑戰性。
誤區6:部署SASE意味著沒有信任
安全訪問服務邊緣(SASE)最近成為了一種走向零信任之旅的流行方式,因為它是一種將安全控制放在云中的服務。然而,Turner指出,在新冠疫情初期帶來的混亂中,許多企業采用安全訪問服務邊緣(SASE)技術,以解決員工在家工作的緊迫問題。
安全訪問服務邊緣(SASE)解決了邊緣地帶的零信任問題,但隨著一些員工重返辦公室,企業意識到他們仍在使用傳統的外圍安全概念。Turner 說:“SASE解決方案并不適用于混合工作模式。現在企業需要重新開始,并將零信任作為一種企業范圍的戰略。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號