零信任安全理念在今天的企業(yè)網絡安全建設中儼然已取得了成功。據(jù)云安全聯(lián)盟在2022年的最新調查數(shù)據(jù)顯示，幾乎所有受訪的企業(yè)正在實施或準備實施零信任安全建設，而77%的受訪企業(yè)表示，將在2023年增加零信任安全建設的投入支出。但Gartner公司副總裁兼分析師John Watts日前表示：隨著零信任概念備受炒作，一些企業(yè)組織的零信任安全建設出現(xiàn)了過度關注和投入的問題。

過度投入的危害

零信任安全應用現(xiàn)在仍處于早期階段，Gartner研究發(fā)現(xiàn)，目前僅有不到1%的大企業(yè)真正實現(xiàn)了成熟的、可衡量的零信任計劃，建設零信任需要時間，難以快速實現(xiàn)。

但市場對零信任解決方案的建設需求卻在快速增長，當零信任概念由營銷炒作快速轉變?yōu)榻ㄔO落地時，也意味著很多企業(yè)用戶會遇到一些不可避免的陷阱。其中一個最新發(fā)現(xiàn)的陷阱就是，實際上很多企業(yè)可能過度關注零信任這個概念?，F(xiàn)在擺在這些企業(yè)面前的問題與其說是對零信任投入不足，還不如說是投入過度。

如果企業(yè)過度期待零信任在安全方面帶來的功效，就會忽視了做好其他必須的安全工作。Optiv首席信息安全官Max Shier認為：我們已經看到一些企業(yè)對零信任的期望變得不切實際。網絡安全界沒有靈丹妙藥，零信任也不是。零信任無法解決組織面臨的所有安全威脅。比如說，當企業(yè)越來越多地提供面向外部的應用和服務時，會引起企業(yè)威脅暴露面的不斷擴大，但有效的攻擊面管理并不能通過零信任控制措施來實現(xiàn)；另一種典例是安全威脅是軟件供應鏈攻擊，零信任技術有助于防止對應用程序代碼的感染，但是攻擊者發(fā)起類似于SolarWinds等攻擊事件時，依靠零信任技術則難以解決。

此外，零信任是一項變革性的工作。企業(yè)組織短期內的過度投入，將不利于零信任安全建設的持續(xù)開展。在開展零信任安全建設之前，很多企業(yè)多年來在安全和網絡軟硬件設備上已經投入了大量的資金，企業(yè)組織應該盡可能利用好現(xiàn)有技術和設備，在此基礎上實現(xiàn)向零信任戰(zhàn)略轉型。

與其他任何長期的戰(zhàn)略項目一樣，企業(yè)在開展零信任安全建設前，也需要制定科學的實施計劃。NSTAC（美國國家安全電信咨詢委員會）在其編寫的《零信任和可信身份管理報告》指南報告中，列出了零信任實施的五個關鍵步驟：界定保護范圍、映射事務流、構建零信任架構、制定零信任策略以及監(jiān)控和維護網絡，這強調了實施零信任將是一個長時間的優(yōu)化迭代過程，也說明了零信任安全能力難以通過短期快速投入來獲得，需要制定科學、合理的實施計劃。

應關注主要風險

零信任安全建設的熱潮始于2009年，即谷歌開始實施BeyondCorp計劃，這被視為第一個成功的零信任建設項目實踐。然而大多數(shù)的企業(yè)并不能像谷歌一樣，具備在零信任方面大力投入的能力，也不需要將零信任安全建設的那么深入。不同企業(yè)組織對零信任的需求和目標都不相同，因此零信任的理想投入程度也不一樣。

盡管谷歌在建立其零信任安全架構時，是從頭開始建立了整個安全網絡。但對于大部分企業(yè)組織來說，并不需要這樣。零信任建設其實可以簡單的通過增強環(huán)境中已有的安全控制開始。在實際建設中，一些企業(yè)組織可能只需要實施一些單點式零信任方案，就可以帶來較大的價值?？茖W的規(guī)劃與合理的投入對零信任安全的長期建設很有利，因為不僅降低了項目實施難度，同時也可以更快的從中獲益。

Watts認為，企業(yè)組織應當首先搞清楚自己需要用零信任戰(zhàn)略來解決的主要安全風險，并使用一些獨立的零信任理念工具來逐步應對這些風險，而不一定是從一個全面的零信任平臺做起。對于大多數(shù)企業(yè)來說，零信任架構的建設時機和方法，有多種實現(xiàn)路徑可以選擇。不同行業(yè)、規(guī)模和需求的企業(yè)，應該基于自身對零信任概念的理解，選擇適合自己的零信任道路，這樣才能提高安全技術和投資的有效性，為企業(yè)長期實現(xiàn)零信任之路打下堅實的基礎。

需要強調的是，企業(yè)在開展零信任安全建設時，還應將用戶體驗放在首位，盡可能保證零信任戰(zhàn)略在企業(yè)應用流程中的順暢性。如果員工認為復雜的零信任方案阻礙了正常業(yè)務工作開展，就會設法繞過方案中包含的安全管控環(huán)節(jié)，不能真正實現(xiàn)零信任安全建設的預期目標。

參考鏈接：??https://www.crn.com/news/security/zero-trust-security-s-new-pitfall-to-avoid-over-investing??