現(xiàn)在的問題不在于是否應(yīng)用零信任技術(shù)，而是如何避免其中的陷阱和失敗。日前，科技媒體ITPro梳理總結(jié)了導(dǎo)致零信任項目建設(shè)失敗的5個常見因素，希望能夠幫助企業(yè)在開啟零信任應(yīng)用之旅時少走彎路。
　　隨著企業(yè)數(shù)字化轉(zhuǎn)型的發(fā)展，零信任安全模型和理念已被企業(yè)組織的CISO們廣泛接受，但是實現(xiàn)它的過程卻并不容易，尤其是對一些中小型企業(yè)組織，零信任項目落地失敗的案例已經(jīng)屢見不鮮。對于企業(yè)而言，現(xiàn)在的問題不在于是否應(yīng)用零信任技術(shù)，而是如何避免其中的陷阱和失敗。日前，科技媒體ITPro梳理總結(jié)了導(dǎo)致零信任項目建設(shè)失敗的5個常見因素，希望能夠幫助企業(yè)在開啟零信任應(yīng)用之旅時少走彎路。

　　1、缺乏對終端設(shè)備的全面管理

　　目前，遠程化、移動化已成為企業(yè)辦公模式的新常態(tài)，這也擴大了企業(yè)數(shù)字化系統(tǒng)的攻擊面，每一個連接到網(wǎng)絡(luò)的終端設(shè)備都可能含有潛在的漏洞，特別是那些位于傳統(tǒng)網(wǎng)絡(luò)之外的設(shè)備，比如打印機、安全攝像頭及其他物聯(lián)網(wǎng)設(shè)備。很多組織在建設(shè)應(yīng)用零信任時，并沒有對所有的終端設(shè)備進行全面的審計，也沒有為不同類型設(shè)備制定專門的保護策略，所以無法確保每個設(shè)備根據(jù)防護需要定期更新。

　　Gartner研究人員認為，企業(yè)在應(yīng)用零信任方案時，需要充分評估方案對異構(gòu)終端的統(tǒng)一管理能力。強有力的終端安全防護將為企業(yè)零信任架構(gòu)的落地打好基礎(chǔ)。同時，零信任建設(shè)并不是對傳統(tǒng)安全技術(shù)的拋棄，而是一種新的替換或者組合。企業(yè)在開展零信任項目建設(shè)時，應(yīng)該將現(xiàn)有的NAC、EPP、EDR、DLP、IAM等安全能力整合到新的架構(gòu)，實現(xiàn)傳統(tǒng)安全能力與零信任的無縫融合。

　　2、急于求成，實施過快

　　零信任建設(shè)不是一蹴而就的工作，而是一種需要不斷優(yōu)化發(fā)展的創(chuàng)新安全理念，也是一個持續(xù)性的過程。實施零信任的前提是需要對網(wǎng)絡(luò)上的所有資產(chǎn)進行測繪和發(fā)現(xiàn)，并在此基礎(chǔ)上識別技術(shù)和人員等方面的安全漏洞，這樣才能清楚如何最有效地堵住漏洞。而且，資產(chǎn)梳理和發(fā)現(xiàn)的工作應(yīng)該在確保日常工作不受干擾的情況下進行。

　　企業(yè)在開展零信任安全建設(shè)時，需要對傳統(tǒng)安全防護技術(shù)以及運營流程進行重大改變，此時如果步子邁得過大，會非常容易出錯。零信任建設(shè)的一個基本要求是要確保所有軟硬件都是最新版本、打上補丁，而確保對每個軟硬件都已摸清底細并能夠隨時優(yōu)化安全需要花費一定的時間。因此，零信任建設(shè)需要一開始就分配足夠的時間來管理一切，并制定流程，以確保對所有的系統(tǒng)和應(yīng)用都能夠有效管理和覆蓋。

　　3、忽視最低特權(quán)訪問原則

　　零信任安全是風(fēng)險和信任之間的平衡狀態(tài)，對于不同的風(fēng)險級別，授予不同信任程度，分配不同的權(quán)限。在零信任架構(gòu)中，沒有絕對的可信或不可信。因此，零信任項目建設(shè)有一個不得不提的特定原則——最小化授權(quán)訪問，要確保所有類型的用戶僅擁有執(zhí)行工作所需的最低權(quán)限級別這一策略。其目的是嚴格控制對資源的訪問，防止系統(tǒng)中出現(xiàn)可被非法利用的特權(quán)用戶賬號。

　　然而對于一些特權(quán)賬號用戶而言，最小化授權(quán)可能很難做到，尤其在多云環(huán)境下，數(shù)據(jù)和應(yīng)用程序往往由不同的服務(wù)商托管運營，每家提供商都有不同的策略和安全規(guī)程，這就意味著內(nèi)部團隊難免會分配過高的特權(quán)。安全專家建議企業(yè)使用授權(quán)管理或云基礎(chǔ)設(shè)施授權(quán)管理這類軟件，集中管理對多個軟件、系統(tǒng)、設(shè)備和云平臺的授權(quán)訪問。

　　4、未得到所有用戶的廣泛認同與支持

　　如果零信任安全建設(shè)完成以后，企業(yè)員工的安全意識卻沒有同步提升，這項技術(shù)的應(yīng)用效果將難以充分發(fā)揮。企業(yè)應(yīng)該向所有用戶展示新的規(guī)程、要求和流程。而很多失敗的零信任案例表明，一些利益相關(guān)者將零信任項目視為便捷開展數(shù)字化業(yè)務(wù)的障礙，并引發(fā)了大量的不滿情緒，這樣無疑會助長違規(guī)現(xiàn)象。那些試圖規(guī)避零信任安全制度的用戶將給項目成功應(yīng)用帶來風(fēng)險。

　　因此，企業(yè)要向每一個用戶清楚地講明零信任項目的背景和目標，讓他們可以真正理解為什么某些監(jiān)控行為是必需的。安全團隊也要在整個組織范圍中打造積極的“零信任安全文化”，讓項目建設(shè)得到公司管理層、業(yè)務(wù)部門和所有相關(guān)用戶的支持。

　　5、以通用的方案開展零信任建設(shè)

　　大多數(shù)供應(yīng)商都聲稱可提供完整的零信任安全解決方案，但事實上沒有哪款產(chǎn)品能做到。每家企業(yè)的零信任應(yīng)用需求都不一樣：技術(shù)環(huán)境會不一樣，使用技術(shù)的方式不一樣，工作地點的分布也不一樣。因此，任何一家組織的零信任實施方案都不相同。如果不能清晰了解自身的零信任建設(shè)需求，并以此開展建設(shè)，零信任項目自然難以取得成功。

　　零信任是一種理念，成功的零信任安全項目大都從身份管理、多因子身份驗證和最低權(quán)限訪問等角度入手，逐步建設(shè)完善。目前零信任技術(shù)仍在快速發(fā)展完善，持續(xù)了解零信任技術(shù)和解決方案的特點對于長期保護建設(shè)投資也很重要。