11年前誕生的零信任安全模型已被網(wǎng)絡安全產(chǎn)業(yè)的思想領袖和企業(yè)CISO們廣泛接受,。而當擁有無窮預算和資源的Google通過BeyondCorp項目踐行和驗證了零信任框架的有效性后,，零信任安全模型進入了產(chǎn)品化和商業(yè)化的快車道。但是今天,，對于大多數(shù)企業(yè)來說,，通往零信任的道路上依然布滿了陷阱和誤區(qū)。

　　11年后,，很多IT和安全決策者依然難以就零信任達成戰(zhàn)略上的共識,。不同企業(yè)的IT和安全基礎設施的差距、需求的差異化,、零信任架構(gòu)對持續(xù)改進能力和投入的要求,，導致很多企業(yè)甚至難以邁出第一步。

　　根據(jù)2021年2月26日美國國家安全局（NSA）發(fā)布的零信任指南,，零信任方法有四個關鍵點：

　　協(xié)調(diào)主動的系統(tǒng)監(jiān)控,、系統(tǒng)管理和防御性安全運營能力；假設所有對關鍵資源和網(wǎng)絡流量的請求都可能是惡意的,；假設所有設備和基礎架構(gòu)都可能受到威脅,；

　　承認對關鍵資源的所有訪問授權(quán)均會帶來風險，并隨時準備執(zhí)行快速的損害評估,，控制和恢復操作,。

　　但現(xiàn)實是，假定所有設備,、基礎設施和流量都會遭遇入侵不僅在董事會上會炸鍋,，在SOC中也是徒勞的。不幸的是,，像零信任框架這樣的方法體系無法提供實用性指導,，例如清晰詳細的建議或后續(xù)實施步驟,，這導致一些零信任采用者給后來者挖了很多大坑。

　　常見的零信任誤區(qū)

　　在進一步討論之前,，我們先回顧一下零信任的六個基本組件：

　　身份：描述,、驗證和保護所有的企業(yè)賬戶。這包括整個云,、本地和遠程資產(chǎn)中的所有用戶,、服務、API和其他擁有訪問權(quán)限的賬戶,。

　　資產(chǎn)：掃描發(fā)現(xiàn)與企業(yè)IT環(huán)境有關的所有資產(chǎn),。與身份一樣，企業(yè)需要描述,、驗證和保護任何位置的所有資產(chǎn),，包括：云、本地和遠程,。在授予資產(chǎn)訪問權(quán)限之前,，請確保安全管理已經(jīng)就緒。

　　應用程序：將所有影子IT,、影子云和（員工）自帶應用程序轉(zhuǎn)換為托管和受保護的應用程序,。根據(jù)當前的分析和需求減少訪問量。監(jiān)視,、控制和糾正用戶權(quán)限,。

　　數(shù)據(jù)：在整個ELT/ETL以及應用程序中，在其存儲庫中識別,、分類和標記數(shù)據(jù),。將注意力從控制周邊轉(zhuǎn)移到控制數(shù)據(jù)訪問。根據(jù)分類標簽和內(nèi)部策略對訪問進行加密和控制,。

　　基礎架構(gòu)：采用最小特權(quán)訪問或“默認拒絕”原則,，監(jiān)視異常和可疑攻擊并發(fā)出警報。使用自動化來阻止異常和危險行為,。

　　網(wǎng)絡：明確高風險或高價值數(shù)據(jù)的網(wǎng)絡區(qū)域,。通過風險和價值來劃分不同的網(wǎng)絡區(qū)域，并通過策略來限制訪問,。在內(nèi)部網(wǎng)絡中部署加密。確保設備和用戶不因位于內(nèi)部網(wǎng)絡中而受到信任,。

　　以下是企業(yè)在實施零信任框架或方案時,，應該避免的四個常見誤區(qū)：

　　誤區(qū)1：選擇一個重要的應用程序作為試驗場

　　這是很常見的一個誤區(qū)，因為從單個應用開始驗證零信任的有效性似乎更容易,。但困難在于您不知道這個應用與其他應用程序的互連,，它的訪問途徑以及哪些用戶需要對應用程序的訪問權(quán)限,。

　　零信任要求對每個應用程序進行細分，將它們彼此隔離,。由于企業(yè)內(nèi)部通常缺乏有關應用程序交互方式的知識和信息,，因此從特定應用程序切入非常困難。

　　更好的選擇是從應用程序生態(tài)系統(tǒng)的細分入手,。然后,，你可以控制對該應用程序的訪問，而不必擔心服務交付失敗,。從處理應用程序生態(tài)系統(tǒng)入手意味著你可以將注意力集中在用戶到應用程序的交互邊界上,，而不必同時處理用戶到應用程序、應用程序到應用程序,，以及應用程序到基礎結(jié)構(gòu)的邊界,，這會讓你崩潰。

　　誤區(qū)2：專注于身份

　　大多數(shù)實施零信任的企業(yè)都會掉入一個陷阱,，那就是零信任方案需要理解和定義企業(yè)中的每個身份,。最初，這似乎很簡單,，但隨后你會發(fā)現(xiàn)身份主體還包括大量服務,、機器和應用程序?；鹕蠞灿偷氖?，身份項目還必須包含權(quán)限，并且每個應用程序都有其自己的授權(quán)架構(gòu),，且沒有標準化,。總之,，僅專注于身份會讓你掉入無休止的項目開發(fā)泥沼,。

　　正確的做法是將重點放在用戶賬戶上。我們從應用程序生態(tài)系統(tǒng)入手的目的是關注用戶和應用程序邊界,。身份方面,，應該從交互式登錄入手，例如用戶執(zhí)行操作前需要訪問賬戶,。通過使用證書和循環(huán)憑證來代替通用登錄,，確保不可否認性。

　　誤區(qū)3：在任何地方向任何設備提供向任何應用程序的訪問權(quán)限都會導致丟掉工作

      大多數(shù)董事會的高管們對零信任的理解都比較“簡單粗暴”,，那就是：零信任就是可以用任何設備開展業(yè)務的一種方式,。這實際上是“零信任主義”安全業(yè)務雙贏的終極目標和結(jié)果。對于剛剛開始實施零信任的團隊來說，直奔“最高綱領”會讓你的防御系統(tǒng)漏洞百出,。事實上,，零信任的目的是從技術上表達對任何設備或網(wǎng)絡的不信任態(tài)度（原則）。這是一個安全原則和范型的轉(zhuǎn)移,，也是一個循序漸進的過程,。

　　首先，提供對正確應用程序的正確身份訪問,，并確保這些用戶及其訪問之間存在細分,。接下來，將已批準的設備移至可對設備或用戶進行身份驗證的位置（確保已建立對應的身份驗證基礎結(jié)構(gòu)）,。一旦建立零身份驗證基礎設施,，你就可以進一步擴展可訪問網(wǎng)絡的設備類型。

　　誤區(qū)4：放棄企業(yè)數(shù)據(jù)中心,，使用云將大大加快零信任的實現(xiàn)

      從零信任的角度來看,，將企業(yè)數(shù)據(jù)中心環(huán)境轉(zhuǎn)移到云中不可避免地會帶來安全災難。這里的陷阱通常是缺乏對數(shù)據(jù)中心資產(chǎn),，它們所連接的對象,，以及企業(yè)各部門的可見性。僅在云中重新實例化數(shù)據(jù)中心并不能賦予您這種可見性,。實際上,，這樣做會進一步降低可見性，因為與數(shù)據(jù)中心相比,，可在云端增加摩擦的控件更少,。

　　在遷移到云之前，請確保對以上提到三大要素有足夠的可見度：應用程序生態(tài)系統(tǒng)到用戶的邊界,，執(zhí)行身份驗證所需的用戶身份屬性,，以及需要訪問資產(chǎn)的設備。

　　數(shù)字化轉(zhuǎn)型的趨勢已經(jīng)不可阻擋,，這意味著企業(yè)將無可避免地走上零信任之路?，F(xiàn)在的問題不再是上不上零信任，而是如何避免誤區(qū)和陷阱,，希望以上總結(jié)的四個零信任誤區(qū)能夠幫助企業(yè)安全主管們少走彎路,。