對零信任的重新審視表明,它并不一定那么復(fù)雜。事實上,零信任可以應(yīng)用到企業(yè)現(xiàn)有的安全解決方案中,而不需要作為單獨的解決方案或難以掌握的全新解決方案來實現(xiàn)。
有三大因素可以影響零信任實施的成敗,令人驚訝的是,它們并不是神秘的技術(shù)細節(jié),而是管理原則。
1.是否為零信任鋪平了道路
影響零信任實施成敗的第一個因素是整體復(fù)雜性。人們通常注意到,復(fù)雜性是影響安全性的主要因素。過于復(fù)雜和困難的解決方案和策略會無法使用,并將促進繞過解決方案或?qū)嵺`的變通方法。員工在顯示器上貼有密碼的便箋就是一個很好的例子,這是他們應(yīng)對嚴格的密碼政策的一種方式。
從解決方案或架構(gòu)的角度來看,在現(xiàn)有解決方案中加入零信任(只要它滿足需求)有助于降低復(fù)雜性。不需要安裝、維護和跟上各種變化的另一個系統(tǒng)或工具,可以減輕工作人員的工作量,這是另一件必須處理的事情。擴展一個現(xiàn)有的、熟悉的系統(tǒng)以提供零信任是非??扇〉?。
一些安全套件或平臺正在或?qū)⒓{入全方位零信任服務(wù)。托管網(wǎng)絡(luò)安全服務(wù)也可能將零信任與它們的產(chǎn)品捆綁在一起。即使是面向中小企業(yè)的現(xiàn)代VPN,也已經(jīng)或?qū)⒉捎靡环N相對簡單的方式來實現(xiàn)零信任態(tài)勢。
2.是否適應(yīng)當(dāng)前的環(huán)境
影響零信任實施成敗的第二個因素是是否適應(yīng)當(dāng)今的云計算環(huán)境,這涉及分布式組織的適應(yīng)能力。如果零信任架構(gòu)需要在完全受控的網(wǎng)絡(luò)上部署組件,或者基于傳統(tǒng)的網(wǎng)絡(luò)和數(shù)據(jù)中心,那么它可能會阻礙部署的成功。如果SaaS應(yīng)用程序、對數(shù)據(jù)和資源使用公有云以及主要或完全遠程工作人員的普遍性無法完全適應(yīng),那么零信任解決方案注定會失敗。
如果要實現(xiàn)零信任,還必須適應(yīng)Web3和元宇宙技術(shù)。調(diào)研機構(gòu)Gartner公司在其Gartner IT研討會/Xpo 2022上預(yù)計,“到2027年,完全虛擬的工作空間將占企業(yè)對元宇宙技術(shù)投資增長的30%,并將‘重新想象’辦公體驗。”
零信任的失敗可能是“無法從這里到達那里”的問題,這阻礙了必要的工作或信息流的發(fā)生。這也可能過于復(fù)雜,阻礙或限制員工的自然工作方式。
Verizon公司最近發(fā)布的一份移動安全指數(shù)報告表明,66%的受訪者預(yù)計,為了滿足業(yè)務(wù)或工作要求,他們將不得不犧牲安全性。另有79%的受訪者表示,他們已經(jīng)不得不做出這樣的權(quán)衡,以滿足最后期限或目標(biāo)。這意味著零信任要想成功實施,就不能妨礙工作效率,它必須符合現(xiàn)有的工作風(fēng)格、工作流程和期望。
3.是否能夠應(yīng)對未知的威脅
影響零信任實施成敗的第三個因素是是否能夠應(yīng)對有意和無意的威脅。零信任不僅僅是傳統(tǒng)意義上的訪問或已證明的身份和授權(quán)。這些方面當(dāng)然至關(guān)重要,同時,其他方面也有助于實現(xiàn)零信任。零信任必須阻止惡意行為,同時也必須阻止完全偶然的行為。例如,分配或利用固定IP地址的能力有助于確保用戶和他們試圖訪問的資源的更大確定性。
另一個方面可能是加密隧道的開始和終止方式,無論是作為VPN還是作為應(yīng)用程序(如電子郵件或CRM)與用戶之間通信的一部分。漏洞可能會導(dǎo)致網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)攻擊者可以通過這些漏洞規(guī)避零信任保護。
還有一個方面可能是需要一種自動化的方法來對用戶的訪問設(shè)備執(zhí)行狀態(tài)檢查,以確保其滿足所需的安全標(biāo)準(zhǔn)。
零信任實施的失敗不是一個選項
除了上述三個因素之外,成功或失敗可能取決于對企業(yè)的完整攻擊面或員工和部門的協(xié)作模式等事情的清晰的理解。零信任架構(gòu)可能無法正確識別現(xiàn)有數(shù)據(jù)流或業(yè)務(wù)流程。不能同時保護和促進這些事情將永遠意味著失敗。
零信任實施的失敗幾乎不是企業(yè)可以承受的選擇。隨著數(shù)據(jù)泄露持續(xù)升級,對違規(guī)行為的處罰不斷上升,并達到對業(yè)務(wù)至關(guān)重要的程度,大多數(shù)人都認為零信任是必要的。
毫無疑問,零信任項目的失敗將使它與其他IT失敗相提并論。根據(jù)Smart Insights公司發(fā)布的調(diào)查數(shù)據(jù),在企業(yè)實施的項目中,63%的CRM項目失敗,70%的營銷自動化項目失敗,84%的業(yè)務(wù)轉(zhuǎn)型失敗。不過,零信任實施的失敗并不一定是一個不可避免的悲劇。通過重新思考如何實現(xiàn)零信任,并將其整合到現(xiàn)有系統(tǒng)、基礎(chǔ)設(shè)施、工作風(fēng)格和預(yù)期的未來變化中,可以極大地提高零信任實施的成功率。
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。