對零信任的重新審視表明,它并不一定那么復雜。事實上,零信任可以應用到企業現有的安全解決方案中,而不需要作為單獨的解決方案或難以掌握的全新解決方案來實現。
有三大因素可以影響零信任實施的成敗,令人驚訝的是,它們并不是神秘的技術細節,而是管理原則。
1.是否為零信任鋪平了道路
影響零信任實施成敗的第一個因素是整體復雜性。人們通常注意到,復雜性是影響安全性的主要因素。過于復雜和困難的解決方案和策略會無法使用,并將促進繞過解決方案或實踐的變通方法。員工在顯示器上貼有密碼的便箋就是一個很好的例子,這是他們應對嚴格的密碼政策的一種方式。
從解決方案或架構的角度來看,在現有解決方案中加入零信任(只要它滿足需求)有助于降低復雜性。不需要安裝、維護和跟上各種變化的另一個系統或工具,可以減輕工作人員的工作量,這是另一件必須處理的事情。擴展一個現有的、熟悉的系統以提供零信任是非常可取的。
一些安全套件或平臺正在或將納入全方位零信任服務。托管網絡安全服務也可能將零信任與它們的產品捆綁在一起。即使是面向中小企業的現代VPN,也已經或將采用一種相對簡單的方式來實現零信任態勢。
2.是否適應當前的環境
影響零信任實施成敗的第二個因素是是否適應當今的云計算環境,這涉及分布式組織的適應能力。如果零信任架構需要在完全受控的網絡上部署組件,或者基于傳統的網絡和數據中心,那么它可能會阻礙部署的成功。如果SaaS應用程序、對數據和資源使用公有云以及主要或完全遠程工作人員的普遍性無法完全適應,那么零信任解決方案注定會失敗。
如果要實現零信任,還必須適應Web3和元宇宙技術。調研機構Gartner公司在其Gartner IT研討會/Xpo 2022上預計,“到2027年,完全虛擬的工作空間將占企業對元宇宙技術投資增長的30%,并將‘重新想象’辦公體驗。”
零信任的失敗可能是“無法從這里到達那里”的問題,這阻礙了必要的工作或信息流的發生。這也可能過于復雜,阻礙或限制員工的自然工作方式。
Verizon公司最近發布的一份移動安全指數報告表明,66%的受訪者預計,為了滿足業務或工作要求,他們將不得不犧牲安全性。另有79%的受訪者表示,他們已經不得不做出這樣的權衡,以滿足最后期限或目標。這意味著零信任要想成功實施,就不能妨礙工作效率,它必須符合現有的工作風格、工作流程和期望。
3.是否能夠應對未知的威脅
影響零信任實施成敗的第三個因素是是否能夠應對有意和無意的威脅。零信任不僅僅是傳統意義上的訪問或已證明的身份和授權。這些方面當然至關重要,同時,其他方面也有助于實現零信任。零信任必須阻止惡意行為,同時也必須阻止完全偶然的行為。例如,分配或利用固定IP地址的能力有助于確保用戶和他們試圖訪問的資源的更大確定性。
另一個方面可能是加密隧道的開始和終止方式,無論是作為VPN還是作為應用程序(如電子郵件或CRM)與用戶之間通信的一部分。漏洞可能會導致網絡攻擊,網絡攻擊者可以通過這些漏洞規避零信任保護。
還有一個方面可能是需要一種自動化的方法來對用戶的訪問設備執行狀態檢查,以確保其滿足所需的安全標準。
零信任實施的失敗不是一個選項
除了上述三個因素之外,成功或失敗可能取決于對企業的完整攻擊面或員工和部門的協作模式等事情的清晰的理解。零信任架構可能無法正確識別現有數據流或業務流程。不能同時保護和促進這些事情將永遠意味著失敗。
零信任實施的失敗幾乎不是企業可以承受的選擇。隨著數據泄露持續升級,對違規行為的處罰不斷上升,并達到對業務至關重要的程度,大多數人都認為零信任是必要的。
毫無疑問,零信任項目的失敗將使它與其他IT失敗相提并論。根據Smart Insights公司發布的調查數據,在企業實施的項目中,63%的CRM項目失敗,70%的營銷自動化項目失敗,84%的業務轉型失敗。不過,零信任實施的失敗并不一定是一個不可避免的悲劇。通過重新思考如何實現零信任,并將其整合到現有系統、基礎設施、工作風格和預期的未來變化中,可以極大地提高零信任實施的成功率。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號