对零信任的重新审视表明,它并不一定那么复杂。事实上,零信任可以应用到企业现有的安全解决方案中,而不需要作为单独的解决方案或难以掌握的全新解决方案来实现。
有三大因素可以影响零信任实施的成败,令人惊讶的是,它们并不是神秘的技术细节,而是管理原则。
1.是否为零信任铺平了道路
影响零信任实施成败的第一个因素是整体复杂性。人们通常注意到,复杂性是影响安全性的主要因素。过于复杂和困难的解决方案和策略会无法使用,并将促进绕过解决方案或实践的变通方法。员工在显示器上贴有密码的便笺就是一个很好的例子,这是他们应对严格的密码政策的一种方式。
从解决方案或架构的角度来看,在现有解决方案中加入零信任(只要它满足需求)有助于降低复杂性。不需要安装、维护和跟上各种变化的另一个系统或工具,可以减轻工作人员的工作量,这是另一件必须处理的事情。扩展一个现有的、熟悉的系统以提供零信任是非常可取的。
一些安全套件或平台正在或将纳入全方位零信任服务。托管网络安全服务也可能将零信任与它们的产品捆绑在一起。即使是面向中小企业的现代VPN,也已经或将采用一种相对简单的方式来实现零信任态势。
2.是否适应当前的环境
影响零信任实施成败的第二个因素是是否适应当今的云计算环境,这涉及分布式组织的适应能力。如果零信任架构需要在完全受控的网络上部署组件,或者基于传统的网络和数据中心,那么它可能会阻碍部署的成功。如果SaaS应用程序、对数据和资源使用公有云以及主要或完全远程工作人员的普遍性无法完全适应,那么零信任解决方案注定会失败。
如果要实现零信任,还必须适应Web3和元宇宙技术。调研机构Gartner公司在其Gartner IT研讨会/Xpo 2022上预计,“到2027年,完全虚拟的工作空间将占企业对元宇宙技术投资增长的30%,并将‘重新想象’办公体验。”
零信任的失败可能是“无法从这里到达那里”的问题,这阻碍了必要的工作或信息流的发生。这也可能过于复杂,阻碍或限制员工的自然工作方式。
Verizon公司最近发布的一份移动安全指数报告表明,66%的受访者预计,为了满足业务或工作要求,他们将不得不牺牲安全性。另有79%的受访者表示,他们已经不得不做出这样的权衡,以满足最后期限或目标。这意味着零信任要想成功实施,就不能妨碍工作效率,它必须符合现有的工作风格、工作流程和期望。
3.是否能够应对未知的威胁
影响零信任实施成败的第三个因素是是否能够应对有意和无意的威胁。零信任不仅仅是传统意义上的访问或已证明的身份和授权。这些方面当然至关重要,同时,其他方面也有助于实现零信任。零信任必须阻止恶意行为,同时也必须阻止完全偶然的行为。例如,分配或利用固定IP地址的能力有助于确保用户和他们试图访问的资源的更大确定性。
另一个方面可能是加密隧道的开始和终止方式,无论是作为VPN还是作为应用程序(如电子邮件或CRM)与用户之间通信的一部分。漏洞可能会导致网络攻击,网络攻击者可以通过这些漏洞规避零信任保护。
还有一个方面可能是需要一种自动化的方法来对用户的访问设备执行状态检查,以确保其满足所需的安全标准。
零信任实施的失败不是一个选项
除了上述三个因素之外,成功或失败可能取决于对企业的完整攻击面或员工和部门的协作模式等事情的清晰的理解。零信任架构可能无法正确识别现有数据流或业务流程。不能同时保护和促进这些事情将永远意味着失败。
零信任实施的失败几乎不是企业可以承受的选择。随着数据泄露持续升级,对违规行为的处罚不断上升,并达到对业务至关重要的程度,大多数人都认为零信任是必要的。
毫无疑问,零信任项目的失败将使它与其他IT失败相提并论。根据Smart Insights公司发布的调查数据,在企业实施的项目中,63%的CRM项目失败,70%的营销自动化项目失败,84%的业务转型失败。不过,零信任实施的失败并不一定是一个不可避免的悲剧。通过重新思考如何实现零信任,并将其整合到现有系统、基础设施、工作风格和预期的未来变化中,可以极大地提高零信任实施的成功率。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号