時至今日,，關(guān)于“零信任”概念仍然存在種種定義層面的誤解與爭議,。零信任不是一種產(chǎn)品或者平臺,，而是一種強調(diào)“永不信任,、始終驗證”以及“誰違規(guī),、誰擔責”原則的安全框架,。

　　因此,，任何指望直接購買“零信任產(chǎn)品”的組織,，都必然遭遇失敗的命運,。

　　供應(yīng)商總有不計其數(shù)的銷售手段,，特別善于把自己的安全解決方案、平臺甚至是功能部件描述成“零信任”的代表,。似乎只要買了他們的產(chǎn)品,，您的安全需求就能得到滿足。但這顯然是種誤解,，而且那些把“零信任”喊得特別響亮的安全廠商,，自己都沒能做到零信任。

　　01 不存在快速實現(xiàn)零信任的捷徑

　　零信任的實現(xiàn)道路復(fù)雜且漫長,，甚至很難定義明確的起點,。為了給大家?guī)硪稽c啟發(fā)，本文希望從實現(xiàn)角度整理出一份實現(xiàn)零信任的方向指引,。首先,，千萬不要指望買下某些產(chǎn)品就能馬上實現(xiàn)零信任——根本就不可能。

　　組織需要制定達成零信任架構(gòu)的戰(zhàn)略,，這套架構(gòu)的涵蓋范圍應(yīng)該超越純技術(shù)與宣傳流行語,。零信任擴展（ZTX）生態(tài)系統(tǒng)就是個典型示例，這樣的生態(tài)系統(tǒng)至少需要：

　　評估現(xiàn)有安全程序的“零信任”成熟度（人員,、技能,、技術(shù)、能力等）,，包括理解人們的工作方式,、現(xiàn)有業(yè)務(wù)流程的實現(xiàn)方式、與現(xiàn)有技術(shù)能力的映射狀態(tài)以及欠缺之處,。

　　將成熟度評估結(jié)果與ZTX框架映射起來,，了解組織在哪些方面表現(xiàn)出色,、在哪些方面仍有不足，然后梳理出需要改進的部分,。

　　考慮引入新的工具與技術(shù)改進這些不足,，并將零信任戰(zhàn)略引入現(xiàn)有業(yè)務(wù)、IT以及安全項目當中,。

　　02 零信任不是某個工具或平臺,，而是一種安全框架

　　ZTX是一種同時囊括技術(shù)與非技術(shù)部分的生態(tài)系統(tǒng)。傳統(tǒng)方案中的明確保護邊界與安全實施策略往往不夠靈活,，大多由彼此隔絕的單體式解決方案設(shè)計而成,。與之相反，零信任更多強調(diào)持續(xù)進行的安全審查與安全態(tài)勢優(yōu)化,。

　　零信任的這種靈活性與集成性,，幫助企業(yè)輕松適應(yīng)業(yè)務(wù)變化。但企業(yè)對于安全廠商的宣傳內(nèi)容應(yīng)保持審慎,，深入了解產(chǎn)品的具體細節(jié),，并及時發(fā)現(xiàn)其中太過完美、不夠可信的描述與承諾,。

　　要求安全廠商解答關(guān)于產(chǎn)品的問題,，例如他們展示的功能該如何嵌入ZTX生態(tài)系統(tǒng)。如果得不到答案,，對方很可能根本就不了解零信任的本質(zhì),。無論具體回應(yīng)如何，安全廠商都至少要承認這樣一項事實：零信任在不同的組織內(nèi)對應(yīng)不同的流程,，任何一款現(xiàn)成產(chǎn)品都不可能一夜之間實現(xiàn)零信任,。這種將解決方案宣揚為實現(xiàn)零信任捷徑的行為，完全就是虛假廣告案例,，最終也只會令客戶身陷失敗的泥潭,。

　　03 零信任不是一場沖刺，而是一段漫長的旅程

　　撥開炒作與虛假宣傳的迷霧,，我們最終還是要把零信任引導(dǎo)落地,。零信任應(yīng)該是一種新的常態(tài)。

　　COVID-19疫情大大改變了我們的工作方式,，并迫使眾多組織加快自身數(shù)字化轉(zhuǎn)型與安全策略,。通過認真研究這些安全解決方案是否適合ZTX生態(tài)系統(tǒng)中的各項原則性支柱，特別是能否匹配組織內(nèi)的整體零信任戰(zhàn)略,，我們才能準確判斷安全廠商的產(chǎn)品到底靠不靠譜,。

　　總而言之，安全產(chǎn)品應(yīng)該幫助組織在改善員工體驗的同時達成“零信任”,，而不只是業(yè)務(wù)發(fā)展道路上的又一塊打著“保護”旗號的頑石,。