在零信任及其實施方面，似乎每個人都在玩“猜迷游戲”，并且是從政府指導(dǎo)開始。美國政府在今年1月對美國管理和預(yù)算辦公室(OMB)針對聯(lián)邦機(jī)構(gòu)和部門的聯(lián)邦零信任戰(zhàn)略的評論既務(wù)實又充滿抱負(fù)。他們的觀察以Log4j漏洞為例，很好地總結(jié)了這一點(diǎn)：“零信任策略將使機(jī)構(gòu)和組織能夠更快地檢測、隔離和響應(yīng)這些類型的威脅。”

 

然而，要使零信任戰(zhàn)略取得成功，實施者必須了解它是什么以及它所依據(jù)的基本原則。

 

 

在關(guān)于零信任主題的研討中，Trellix公司首席工程師兼漏洞研究主管Douglas McKee在Black Hat會議上指出，現(xiàn)實情況是“深度防御”和“最低特權(quán)訪問原則””是流行術(shù)語“零信任”背后的基本要素。

 

與業(yè)務(wù)運(yùn)營合作的首席信息安全官必須協(xié)作并協(xié)調(diào)對所需信息的訪問，以便其同事可以在他們的整體任務(wù)中取得成功。他們需要的是不受阻礙地持續(xù)訪問信息。這需要對整個企業(yè)生態(tài)系統(tǒng)的需求進(jìn)行持續(xù)和動態(tài)的監(jiān)控。當(dāng)個人改變角色時，他們的需求將會調(diào)整，他們允許的訪問權(quán)限也會隨之調(diào)整。當(dāng)員工離開時，必須終止他們的訪問。這說起來容易，但對于很多企業(yè)和組織來說似乎很難完成。

 

正如Code42公司首席執(zhí)行官Joe Payne所說：“讓員工能夠以受信任的方式完成工作，并在企業(yè)的保護(hù)傘下，這樣如果他們冒險離開企業(yè)的流程和程序，例如加載到基于Web的存儲，他們就會立即得到糾正。”

 

 

這就是問題所在。如果首席信息安全官不執(zhí)行最低特權(quán)訪問原則，那么就不存在越界風(fēng)險，因為訪問是允許和授權(quán)的。檢測個人竊取信息是一項艱巨的任務(wù)。員工遵循企業(yè)的所有流程和程序，只獲取他們可以自然獲取的信息，他們可以幾乎不受懲罰地收獲。

 

 

零信任比流行術(shù)語更復(fù)雜。Egress公司產(chǎn)品管理副總裁Steve Malone表示：“不幸的是，零信任存在一些認(rèn)知問題：供應(yīng)商經(jīng)常錯誤地陳述它，從而導(dǎo)致買家產(chǎn)生誤解。關(guān)于零信任最重要的一點(diǎn)是它不是一種產(chǎn)品。這不是可以從單一供應(yīng)商那里購買的東西。零信任是一種安全方法、技術(shù)框架和最佳實踐，企業(yè)需要隨著時間的推移在其IT環(huán)境中定義和采用。”

 

健康且持續(xù)的遵守使每個人都保持警覺，并專注于如何訪問、移動和存儲信息。這種思維方式需要從企業(yè)高管到個人貢獻(xiàn)者都接受，因為安全實施可能得到首席信息安全官及其信息安全專家團(tuán)隊的支持，因此在運(yùn)營和生產(chǎn)中發(fā)揮了重要作用。

 

 

Malone繼續(xù)說道，“一些企業(yè)很難實施零信任戰(zhàn)略。我看到的最大錯誤是安全團(tuán)隊誤解了真正的零信任方法的含義。一些企業(yè)認(rèn)為零信任可以通過使用單獨(dú)的安全解決方案來實現(xiàn)，從而為問題提供快速解決方案。然而，零信任不僅僅是部署單獨(dú)的解決方案。”

 

Malone總結(jié)說：“不要被這個時髦的名稱所迷惑。零信任不僅僅是另一個流行術(shù)語，也不是單一產(chǎn)品。這是一項重要的安全舉措。”

 

人員、流程和技術(shù)的重要性怎么強(qiáng)調(diào)都不為過。它們是最低特權(quán)訪問原則和縱深防御戰(zhàn)略實施的核心。雖然根本不存在普遍的、教科書式的零信任實施，但卻存在零信任的原則。

 

 

國內(nèi)主流的to B IT門戶，同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智（www.cioall.com）。同時運(yùn)營18個IT行業(yè)公眾號（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。