本文來自安全牛。

　　隨著美國國防部和聯邦政府將零信任技術列為關鍵性的新一代安全體系計劃，其作為無邊界化趨勢下的新安全理念，已經成為各行業普遍關注并寄予厚望的焦點技術。但是，由于企業組織長期圍繞傳統的安全技術和方法制定并實施網絡安全計劃，因此在轉向采用零信任安全的過程中，將面臨很多挑戰和困難。

　　零信任建設充滿挑戰

　　如果我們將現代的零信任方法與傳統的傳統安全方法進行對比，就可以理解為什么美國國家安全局（NSA）、國防部（DoD）、國防工業基地（DIB）和拜登政府的《網絡安全行政令》都急于要求采用零信任架構（ZTA）。傳統安全策略圍繞較傳統的“內部信任”方法而構建，一旦進入可信區域，應用程序和系統就可以隨意通信，這讓攻擊者比較容易下手。

　　零信任安全架構旨在解決以上這些問題。在零信任環境中，每個連接和所有訪問都有明確的定義、授權和約束。當服務（如系統、應用程序、容器等）需要與另一個服務連接時，該連接必須使用有效的身份驗證方法，通過某種授權級別。在訪問者證明自己可信任之前，“零信任”將是一種默認的安全狀態。

　　作為一種方法和架構概念，零信任的作用和價值不難理解。但零信任能否成為加強組織安全防護能力的最佳實踐，還有待進一步的觀察和驗證。零信任不是一種單一的技術或產品，而是一套現代安全策略原則。對企業來說，零信任是安全理念戰略的終極目標，不可能一蹴而就。零信任環境建設將是一個充滿挑戰的持續過程。

　　企業在開展零信任安全建設時，不能把一切推倒重來，這樣成本會很高，用戶體驗也會有問題。很多零信任解決方案需要用戶對應用環節進行改造，但是一些老舊應用改造空間小，因此系統能否順利完成升級并不確定。

　　零信任安全建設還會改變用戶的使用習慣。對企業來說，建設零信任安全環境后，原有的一些工作流程會發生改變。

　　此外，很多企業現有的安全環境并不是圍繞零信任原則而設計、構建和部署的，開發團隊常常以“完全信任”模式構建應用程序和服務環境，幾乎沒有實施訪問限制或安全控制。只在構建應用程序和云環境之后，安全和DevOps團隊才竭力對IT系統環境實施安全控制和訪問限制。隨著云計算應用越來越復雜，安全控制和執行的復雜性同樣隨之加大。如果某些控制或配置缺失或不準確，環境可能很容易受到攻擊。據Verizon的《2022年數據泄露調查報告》顯示，配置錯誤是數據泄露的首要來源。

　　自動化是實現零信任的前提

　　如果云基礎設施環境是使用自動化預構建、預配置和標準化的，那么任何規模的企業或組織都可以獲得成本合理的現代零信任架構。開發人員現在可以一開始就在遵循零信任原則的基礎上構建云應用程序。這意味著訪問權限成為DevOps流程一個不可或缺的組成部分，也成為自動化配置管理實踐的一個關鍵部分。新應用程序添加到環境中后，開發人員與安全從業人員和DevSecOps團隊更加順暢無阻地合作，共同配置訪問權限、授權、日志及關鍵基礎架構的其他組件。

　　在零信任環境中，由于需要對用戶身份進行多次、持續的請求和驗證容易造成不好的用戶體驗，因此安全專家將其視為通過機器學習實現自動化的機會。例如，Gartner建議采用一種被稱為“持續適應性信任”的分析方法CAT，可以使用上下文數據（例如設備身份、網絡身份和地理位置）作為一種數字現實檢查來幫助驗證用戶身份。

　　事實上，網絡中充滿了數據，安全專家的人工分析太困難且無效，其中很多數據是可以被人工智能實時篩選,自動化地實現零信任環境的安全性。零信任廠商需要為企業組織提供自動化工具，幫助他們構建更強大的零信任環境，保障零信任環境的防御系統能夠貫穿于IT系統的整個架構中。