2022年時(shí)間6月6日，RSA Conference 2022在舊金山召開(kāi)。本屆RSAC的主題為“Transform(轉(zhuǎn)型)”，被認(rèn)為是RSAC 2021年主題“彈性”的進(jìn)一步延伸和拓展。轉(zhuǎn)型在當(dāng)下，是很多企業(yè)不得不面對(duì)的問(wèn)題，像云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)辦公等新技術(shù)與業(yè)務(wù)的加速融合，讓傳統(tǒng)網(wǎng)絡(luò)邊界逐漸變得模糊，小至企業(yè)之彈性，大至行業(yè)之轉(zhuǎn)型，網(wǎng)絡(luò)安全產(chǎn)業(yè)正處于變革之中，傳統(tǒng)邊界防護(hù)手段已不足以有效應(yīng)對(duì)新時(shí)代的威脅與挑戰(zhàn)。

在此背景下，以“從不信任、始終驗(yàn)證”為核心原則的零信任概念應(yīng)運(yùn)而生，并迅速成為熱門(mén)話題。很多企業(yè)高管將考慮開(kāi)展零信任安全策略，因?yàn)樗麄兿Ｍ阈湃伟踩呗缘膶?shí)施可以讓企業(yè)的安全建設(shè)取得明顯進(jìn)展。根據(jù)云安全聯(lián)盟(CSA)的一項(xiàng)新調(diào)查，對(duì)80%的CxO技術(shù)領(lǐng)導(dǎo)者來(lái)說(shuō)，零信任是企業(yè)的重要事項(xiàng)，77%的高管表示他們將增加對(duì)零信任安全建設(shè)的支出。

增加對(duì)零信任的投入對(duì)很多企業(yè)來(lái)說(shuō)具有重大意義，超過(guò)五分之二的高管稱(chēng)企業(yè)在零信任安全建設(shè)方面的預(yù)算增加了至少26%。

根據(jù)對(duì)來(lái)自對(duì)全球800多名IT和安全專(zhuān)業(yè)人士的調(diào)研，以及包括200多名C級(jí)高管的回答，隨著數(shù)字化轉(zhuǎn)型的推進(jìn)、疫情期間勞動(dòng)力的轉(zhuǎn)移以及美國(guó)網(wǎng)絡(luò)安全行政命令的宣布，零信任已成為保護(hù)企業(yè)的一道盾牌。該研究表明，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，零信任策略仍然是一個(gè)相對(duì)較新的網(wǎng)絡(luò)安全路線圖，53% 的企業(yè)表示他們開(kāi)始實(shí)施零信任策略的時(shí)間還不到兩年。他們用來(lái)指導(dǎo)戰(zhàn)略規(guī)劃的標(biāo)準(zhǔn)五花八門(mén)，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的領(lǐng)跑者要數(shù)CISA標(biāo)準(zhǔn)，有33%的企業(yè)報(bào)告說(shuō)他們使用的正是CISA的標(biāo)注作為他們的零信任戰(zhàn)略指導(dǎo)。

零信任是一種不斷發(fā)展的安全模型，它將許多長(zhǎng)期運(yùn)行的安全概念(最小特權(quán)、基于風(fēng)險(xiǎn)因素的有條件訪問(wèn)和隔離)聯(lián)系在一起——不僅在網(wǎng)絡(luò)級(jí)別，而且在應(yīng)用程序和工作負(fù)載級(jí)別。其核心概念是消除IT長(zhǎng)期以來(lái)在用戶(hù)和設(shè)備使用密碼登錄后對(duì)網(wǎng)絡(luò)的無(wú)條件信任。

實(shí)施零信任的目的是用一種更具適應(yīng)性和持續(xù)評(píng)估的授予訪問(wèn)權(quán)限的模式來(lái)代替它，該模式提供有限的訪問(wèn)權(quán)限，并且不僅基于身份，還基于操作和威脅環(huán)境。執(zhí)行此操作需要很多部分，包括強(qiáng)大的身份和訪問(wèn)管理 (IAM)、有效的網(wǎng)絡(luò)策略執(zhí)行、強(qiáng)大的數(shù)據(jù)安全性和有效的安全分析。很多企業(yè)在過(guò)去的安全建設(shè)中其實(shí)已經(jīng)有過(guò)對(duì)這些部分投入，而零信任策略只是重新整合和利用這些已經(jīng)投入過(guò)的資源。

因此，盡管許多企業(yè)表示他們開(kāi)始零信任之旅才一兩年，但這項(xiàng)調(diào)查的受訪者表示，他們?cè)诮K端/設(shè)備成熟度、應(yīng)用安全、IAM、數(shù)據(jù)流管理、網(wǎng)絡(luò)安全管理、用戶(hù)行為和資產(chǎn)管理等核心零信任領(lǐng)域已經(jīng)有一些經(jīng)驗(yàn)了。

在執(zhí)行零信任策略時(shí)，基本策略、架構(gòu)和集成工作會(huì)將冒牌者與競(jìng)爭(zhēng)者區(qū)分開(kāi)來(lái)。RackTop系統(tǒng)公司的首席執(zhí)行官兼國(guó)防和金融領(lǐng)域的長(zhǎng)期安全和技術(shù)從業(yè)者Eric Bednash表示，組織要想開(kāi)展零信任之旅，他們必須先了解IT和安全堆棧如何結(jié)合?！斑@是關(guān)于從對(duì)企業(yè)整體架構(gòu)和業(yè)務(wù)流程的深入了解開(kāi)始，你需要了解它們?nèi)绾温?lián)系在一起。它超越了任何單一元素。而且你還要記住，零信任不是一件具象化的東西，而是一種理念，“ 他說(shuō)。“它更像是一種指導(dǎo)方針。而不是說(shuō)，'這東西是零信任，這東西不是零信任。' 簡(jiǎn)單來(lái)說(shuō)，零信任是一種方法論，它沒(méi)有捷徑可走，這就是為什么它如此難以實(shí)施的原因?！?/p>

實(shí)施零信任策略需要高管的充分支持、足夠的專(zhuān)業(yè)知識(shí)和人員配備，以及明智的變革管理。根據(jù)CSA調(diào)查，40%的企業(yè)表示缺乏專(zhuān)業(yè)知識(shí)，34%的企業(yè)表示他們沒(méi)有內(nèi)部協(xié)調(diào)或得到支持，23%的企業(yè)表示抵制變革阻礙了前進(jìn)的道路。專(zhuān)家表示要克服這些業(yè)務(wù)和流程障礙需要外交和有紀(jì)律的溝通?！盀榱擞行У毓芾碜兓阈枰_(kāi)展行動(dòng)并逐步的實(shí)施。你可能知道你想去哪里，你甚至可能已經(jīng)為你的網(wǎng)絡(luò)解決方案簽訂了合同，但不要一次實(shí)施所有事情”，Perimeter 81首席執(zhí)行官兼聯(lián)合創(chuàng)始人Amit Bareket說(shuō)，“變革管理的藝術(shù)在于知道要實(shí)施多少——所以不要一次改變太多，但也不要無(wú)限期地拖延這個(gè)過(guò)程?！?/p>