零信任取得成功的三个关键因素

今天,零信任网络接入(ZTNA)的价值和重要性怎么强调都不过分,但不可否认的是,很多企业的零信任项目失败了,尤其是中小型企业。这导致很多企业对零信任项目的启动和维护产生畏难情绪。

虽然零信任的愿望和目标是美好的,但是对于很多企业来说,成功实施零信任似乎有些遥不可及。

企业界和网络安全界对零信任的最新观点是:零信任项目其实并不一定很复杂。事实上,零信任可以整合到企业熟悉的现有安全解决方案中,而不是作为单独的或全新陌生的解决方案实施。

有着丰富实施经验的安全专家们认为,零信任成功有三个关键因素,但出人意料的是,这三个因素都与复杂的技术问题无关,而是管理原则。

1.化繁为简

决定零信任成败的第一个关键因素是对整体复杂性的控制,复杂性是安全的敌人。过于复杂和困难的解决方案和策略会使安全失能,并助长绕过零信任解决方案获得“对策”。这种“绕过策略”有个经典案例:当企业开始执行严格的密码政策(禁止在显示器上粘附写有密码的便条)时,员工的“对策”是把写有密码的便条贴在显示器的侧面。

从解决方案或体系结构的角度来看,将零信任整合到现有安全解决方案中有助于降低复杂性。无需使用额外的系统或工具来安装、维护和更新,从而大大减轻了员工的工作量。基于企业现有的网络安全系统扩展提供零信任服务是比较可行的一种路径。

某些厂商的安全套件或平台正在准备包含全方位零信任服务。例如,通过托管网络安全服务将零信任与其他安全产品捆绑在一起。即使是面向中小型企业的VPN产品,通过简化方式达成零信任态势也已经成为大势所趋。

2.适应现代技术场景和趋势

零信任成功的第二个关键因素是对当今“一切皆云”(主要是分布式组织)的技术环境和趋势的适应性。如果零信任架构需要将部署在企业自主控制的本地网络上,或者需要基于传统的本地数据中心,则可能会导致部署失败。零信任方案如果无法适应SaaS应用、远程办公普及化以及在(公共)云端存取公数据和资源,则零信任解决方案注定要失败。

零信任要想取得长远成功,还必须适应Web3和元宇宙技术。Gartner在Xpo 2022大会上曾预测:到2027年,完全虚拟的工作空间将占企业在元宇宙技术投资增长的30%,并将“重建”办公体验。

如果零信任不能向后支持这些新技术场景,将成为工作流和信息流的障碍,影响员工工作方式和效率,或者制造太多复杂性,注定走向失败。

Verizon移动安全指数的最新报告显示,66%的员工表示为了满足业务或工作要求会考虑牺牲安全性。另有79%的受访者表示,他们已经牺牲了安全性,来满足工作任务期限或目标。这意味着零信任要想成功,首先要考虑的就是不能妨碍工作效率和速度,零信任必须满足现有的工作方式、工作流程和效率期望。

3.对未知威胁的防御能力

零信任成功的第三个关键因素是能否阻止有意和无意的威胁。零信任不仅仅是传统意义上的身份访问和授权,还需要能阻止恶意行为,同时也要阻止意外行为。例如,分配或使用固定IP地址的能力有助于确保用户和他们尝试访问的资源具有更大的确定性。

另一个方面可能是加密隧道(作为VPN或电子邮件、CRM等应用程序与用户之间通信的一部分)开始和终止的方式。此外,漏洞也可能使零信任防护被攻击者绕过。

最后,零信任可能还需要通过一种自动化方式对用户的访问设备执行状态检查,以确保它符合所需的安全标准。

总结:零信任只许成功,不许失败

除了上述三个关键因素之外,零信任的成败还取决于对企业完整攻击面或员工与部门协作模式的全面深入了解。零信任体系结构如果无法正确识别现有数据流或业务流程,不能提供有效的保护和支持,则意味着失败。

但零信任的失败也往往是企业“无法承受之重”。因为近年来随着数据泄露事件不断升级,各国法规对违规行为的处罚力度不断加大,已经达到对公司产生重大影响的程度。

虽然零信任项目“只许成功不许失败”,但客观来说,很多大型IT项目都有着较高的失败率。根据Smart Insights的数据,63%的CRM项目启动失败,70%的营销自动化项目失败,84%的业务转型工作失败。尽管如此,零信任未必会是失败率很高的项目,企业需要认真思考决定零信任成败的关键因素,将零信任整合到现有系统、基础设施、工作方式和预期的技术场景变化中,如此可大大提高零信任的成功机率。

前一篇2022年中国网络安全盘点
后一篇周刊 | 网安大事回顾(2023.1.9—2023.1.15)