零信任的真正定义方面存在着很大的挑战和误解。零信任不是一种产品或平台,而是一种立足于“从不信任,始终验证”和“假设被攻击”这个概念的安全框架。
我发现,零信任的真正定义方面存在着很大的挑战和误解。零信任不是一种产品或平台,而是一种立足于“从不信任,始终验证”和“假设被攻击”这个概念的安全框架。如果组织试图将零信任作为一种产品来购买,只会陷入失败的境地。
供应商(尤其是想出售一整套产品的供应商,即全系列供应商)设法让您相信:他们出售的安全解决方案、平台或设备就是零信任;您只需购买他们?6?7?6?7的解决方案,即可满足自己的需要。这是错误的。供应商只是支持零信任,他们本身不是零信任。我的同事Jinan Budge曾写过一篇报告,戳穿了诸如此类的零信任误区。
走零信任这条路不容易,很难弄清楚从哪里开始上路。别听信供应商的那一套:您购买某个产品后,立即就搞成零信任了。实际情况不是这样。
组织需要制定一项策略才能实现零信任架构,这种架构不单单囿于技术和流行语。零信任扩展(ZTX)生态系统对此大有帮助,最低要求包括如下:
-
评估现有安全计划的“零信任”成熟度(人员、技能、技术和能力等)。这包括了解人们在如何完成工作以及如今现有的业务流程是如何进行的,对照现有的技术能力,了解差距所在。
-
将这番成熟度评估的结果与ZTX框架对应起来,了解您在哪些方面很强、哪些方面很弱,具体来说就是需要改进哪些能力。
-
考虑采用工具和技术以弥补能力薄弱的方面,并将实施的零信任系统集成到现有的业务、IT和安全项目中。
ZTX是包含技术部分和非技术部分的生态系统。保护边界和其他以前的安全策略很难适应变化,因为它们是围绕互相没有集成起来的整体式单点解决方案而设计的。然而,零信任却是奉行不断审查和优化这一原则而设计的。
零信任的持续性和集成性旨在轻松适应业务变化。组织需要对供应商的噱头保持警惕,深入了解供应商产品方面的细节,他们推销的技术好得难以置信时就要留个心眼。
询问您在考虑的那家供应商,他们描述的功能在ZTX生态系统中所处的位置。如果他们描述不了,这是个非常明显的信号:表明他们不懂零信任。安全供应商需要向客户表明这个事实:零信任是对每家组织来说都不同的一段旅程,别再宣传零信任是买来就行的产品了。如果供应商出售的解决方案号称是通向零信任的捷径,只会让客户面临失败。
虽然供应商继续将零信任作为一种新潮、酷炫、炙手可热的新技术来销售,但到头来,我们需要扎下根来。零信任是新常态。新冠疫情大大改变了我们的工作方式,迫使许多组织加快数字化转型和安全策略。花点时间看看这些安全解决方案是不是货真价实,为此要仔细研究它们多适应ZTX生态系统的不同支柱,最重要的是多适应贵组织的总体零信任策略。它们应该有助于使组织能够在改善员工体验的同时实现零信任,而不应该是阻碍业务流程的另一个安全工具。
作者:Steve Turner是Forrester研究公司的分析师。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/339.html