編者按：本文來自 Gartner 副總裁分析師 John Watts。

 在降低 環(huán)境風險方面，大多數(shù)組織將零信任視為首要任務。然而，對于許多組織而言，整個組織的大規(guī)模零信任尚未成為現(xiàn)實。

零信任是一種安全范例，它明確識別用戶和設備，并允許他們以最小的摩擦進行訪問，同時仍然降低風險。零信任要求組織考慮最小特權(quán)訪問、資源敏感性和數(shù)據(jù)機密性。 

這些概念并不新鮮。過去，許多團隊都曾嘗試實施最低特權(quán)訪問控制，但在擴大控制范圍和增加控制粒度時遇到了挑戰(zhàn)。

零信任也不能避免這些問題。組織必須提前計劃并投資于人員和資源以在零信任的情況下取得成功，而不是將其視為一次性的、一刀切的答案來保護他們的組織。

要啟動零信任實施，組織可以在著手更廣泛的零信任技術(shù)實施之前先定義戰(zhàn)略和基線。

為組織量身定制零信任策略并將其與最適合緩解的攻擊類型（例如惡意軟件的橫向移動）相結(jié)合非常重要。

零信任不會通過一種技術(shù)來實現(xiàn)，而是通過多種不同組件的集成來實現(xiàn)。 

大多數(shù)組織將實施零信任作為安全的起點

Gartner 預測，到 2025 年，超過 60% 的組織將把零信任作為安全的起點。然而，超過一半的組織將無法實現(xiàn)這些好處——啟動零信任需要的不僅僅是技術(shù)。

由于圍繞零信任的營銷壓力和炒作， 安全領(lǐng)導者 不知所措，努力將技術(shù)現(xiàn)實轉(zhuǎn)化為商業(yè)利益。 

有一種普遍的誤解認為“零信任”是指沒有人被信任，但事實并非如此。相反，零信任指的是只信任所需的“正確”數(shù)量。安全領(lǐng)導者必須了解零信任將保護他們和他們的組織免受任何可能發(fā)生的疏忽。  

當談到在組織內(nèi)成功啟動零信任時，網(wǎng)絡安全領(lǐng)導者絕不能試圖僅通過技術(shù)控制來執(zhí)行零信任計劃。零信任不是技術(shù)優(yōu)先的努力，而是思維方式和安全方法的轉(zhuǎn)變。 

一旦理解了這一點，網(wǎng)絡安全領(lǐng)導者就需要得到高管的支持和支持。這種支持將展示零信任如何支持新的業(yè)務方法和更具彈性的環(huán)境，從而實現(xiàn)更大的靈活性。

未能獲得這種支持將使零信任計劃面臨風險。 

網(wǎng)絡安全領(lǐng)導者必須接受可能出現(xiàn)的復雜性和臨時冗余。安全團隊將在一種新的、精細的方法下運作，但仍然需要舊的控制。新舊控件之間可能存在相互沖突的目標。這些必須協(xié)調(diào)一致并不斷審查以避免沖突。

隨著組織從零信任的炒作變成現(xiàn)實，安全領(lǐng)導者必須將他們的注意力從技術(shù)和營銷信息轉(zhuǎn)移到零信任的文化和安全計劃。安全領(lǐng)導者可以通過設定符合可管理性和安全目標的現(xiàn)實目標來為成功做好準備。

根據(jù)所需的業(yè)務成果（例如降低風險、更好的最終用戶體驗或提高靈活性）定位零信任計劃，以對零信任計劃的范圍和影響設定切合實際的期望。

更多組織正在實施零信任計劃，但需要可衡量性

目前，大多數(shù)組織都處于零信任之旅的早期階段。雖然組織對零信任的承諾感到興奮，但很少有人關(guān)注其實施后的現(xiàn)實。 

在零信任之旅中走得更遠的組織在實施和維護最低特權(quán)訪問方面遇到了障礙。為幫助避免這些障礙，投資資源以隔離并遵守最低特權(quán)訪問策略以實施控制。投資這些資源將在實施后保持零信任態(tài)勢。 

Gartner 預測，到 2026 年，10% 的大型企業(yè)將擁有成熟且可衡量的零信任計劃，而目前這一比例還不到 1%。

零信任戰(zhàn)略必須由關(guān)于組織愿意在網(wǎng)絡安全方面進行多少投資以及從投資中獲得多少收益的業(yè)務決策驅(qū)動。隨著組織改進將網(wǎng)絡安全解釋為一項商業(yè)投資，零信任努力變得不那么戰(zhàn)術(shù)化。 

今天沒有衡量零信任成熟度的通用標準，但是現(xiàn)有的成熟度模型是一個有用的起點。

例如，美國聯(lián)邦政府網(wǎng)絡安全和基礎設施安全局 (CISA) 發(fā)布了零信任成熟度模型 設計，以協(xié)助美國聯(lián)邦機構(gòu)制定零信任戰(zhàn)略和實施計劃。

使用此策略將跟蹤組織內(nèi)部零信任目標的進展情況。優(yōu)先考慮此行動計劃，而不是采用來自成熟度模型的相對基準評估，因為由于范圍和預期結(jié)果的差異，這些基準可能無法在組織之間進行比較。 

在零信任的情況下從理論轉(zhuǎn)向?qū)嵺`是一項挑戰(zhàn)。在沒有制定策略的情況下很容易陷入部署點零信任解決方案的陷阱。穩(wěn)健的戰(zhàn)略勢在必行，也是超越營銷噪音以確保成功實施零信任的唯一途徑。