編者按：本文來自 Gartner 副總裁分析師 John Watts。

 在降低 環(huán)境風(fēng)險(xiǎn)方面，大多數(shù)組織將零信任視為首要任務(wù)。然而，對(duì)于許多組織而言，整個(gè)組織的大規(guī)模零信任尚未成為現(xiàn)實(shí)。

零信任是一種安全范例，它明確識(shí)別用戶和設(shè)備，并允許他們以最小的摩擦進(jìn)行訪問，同時(shí)仍然降低風(fēng)險(xiǎn)。零信任要求組織考慮最小特權(quán)訪問、資源敏感性和數(shù)據(jù)機(jī)密性。 

這些概念并不新鮮。過去，許多團(tuán)隊(duì)都曾嘗試實(shí)施最低特權(quán)訪問控制，但在擴(kuò)大控制范圍和增加控制粒度時(shí)遇到了挑戰(zhàn)。

零信任也不能避免這些問題。組織必須提前計(jì)劃并投資于人員和資源以在零信任的情況下取得成功，而不是將其視為一次性的、一刀切的答案來保護(hù)他們的組織。

要啟動(dòng)零信任實(shí)施，組織可以在著手更廣泛的零信任技術(shù)實(shí)施之前先定義戰(zhàn)略和基線。

為組織量身定制零信任策略并將其與最適合緩解的攻擊類型（例如惡意軟件的橫向移動(dòng)）相結(jié)合非常重要。

零信任不會(huì)通過一種技術(shù)來實(shí)現(xiàn)，而是通過多種不同組件的集成來實(shí)現(xiàn)。 

大多數(shù)組織將實(shí)施零信任作為安全的起點(diǎn)

Gartner 預(yù)測(cè)，到 2025 年，超過 60% 的組織將把零信任作為安全的起點(diǎn)。然而，超過一半的組織將無法實(shí)現(xiàn)這些好處——啟動(dòng)零信任需要的不僅僅是技術(shù)。

由于圍繞零信任的營(yíng)銷壓力和炒作， 安全領(lǐng)導(dǎo)者 不知所措，努力將技術(shù)現(xiàn)實(shí)轉(zhuǎn)化為商業(yè)利益。 

有一種普遍的誤解認(rèn)為“零信任”是指沒有人被信任，但事實(shí)并非如此。相反，零信任指的是只信任所需的“正確”數(shù)量。安全領(lǐng)導(dǎo)者必須了解零信任將保護(hù)他們和他們的組織免受任何可能發(fā)生的疏忽。  

當(dāng)談到在組織內(nèi)成功啟動(dòng)零信任時(shí)，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者絕不能試圖僅通過技術(shù)控制來執(zhí)行零信任計(jì)劃。零信任不是技術(shù)優(yōu)先的努力，而是思維方式和安全方法的轉(zhuǎn)變。 

一旦理解了這一點(diǎn)，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者就需要得到高管的支持和支持。這種支持將展示零信任如何支持新的業(yè)務(wù)方法和更具彈性的環(huán)境，從而實(shí)現(xiàn)更大的靈活性。

未能獲得這種支持將使零信任計(jì)劃面臨風(fēng)險(xiǎn)。 

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須接受可能出現(xiàn)的復(fù)雜性和臨時(shí)冗余。安全團(tuán)隊(duì)將在一種新的、精細(xì)的方法下運(yùn)作，但仍然需要舊的控制。新舊控件之間可能存在相互沖突的目標(biāo)。這些必須協(xié)調(diào)一致并不斷審查以避免沖突。

隨著組織從零信任的炒作變成現(xiàn)實(shí)，安全領(lǐng)導(dǎo)者必須將他們的注意力從技術(shù)和營(yíng)銷信息轉(zhuǎn)移到零信任的文化和安全計(jì)劃。安全領(lǐng)導(dǎo)者可以通過設(shè)定符合可管理性和安全目標(biāo)的現(xiàn)實(shí)目標(biāo)來為成功做好準(zhǔn)備。

根據(jù)所需的業(yè)務(wù)成果（例如降低風(fēng)險(xiǎn)、更好的最終用戶體驗(yàn)或提高靈活性）定位零信任計(jì)劃，以對(duì)零信任計(jì)劃的范圍和影響設(shè)定切合實(shí)際的期望。

更多組織正在實(shí)施零信任計(jì)劃，但需要可衡量性

目前，大多數(shù)組織都處于零信任之旅的早期階段。雖然組織對(duì)零信任的承諾感到興奮，但很少有人關(guān)注其實(shí)施后的現(xiàn)實(shí)。 

在零信任之旅中走得更遠(yuǎn)的組織在實(shí)施和維護(hù)最低特權(quán)訪問方面遇到了障礙。為幫助避免這些障礙，投資資源以隔離并遵守最低特權(quán)訪問策略以實(shí)施控制。投資這些資源將在實(shí)施后保持零信任態(tài)勢(shì)。 

Gartner 預(yù)測(cè)，到 2026 年，10% 的大型企業(yè)將擁有成熟且可衡量的零信任計(jì)劃，而目前這一比例還不到 1%。

零信任戰(zhàn)略必須由關(guān)于組織愿意在網(wǎng)絡(luò)安全方面進(jìn)行多少投資以及從投資中獲得多少收益的業(yè)務(wù)決策驅(qū)動(dòng)。隨著組織改進(jìn)將網(wǎng)絡(luò)安全解釋為一項(xiàng)商業(yè)投資，零信任努力變得不那么戰(zhàn)術(shù)化。 

今天沒有衡量零信任成熟度的通用標(biāo)準(zhǔn)，但是現(xiàn)有的成熟度模型是一個(gè)有用的起點(diǎn)。

例如，美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布了零信任成熟度模型 設(shè)計(jì)，以協(xié)助美國(guó)聯(lián)邦機(jī)構(gòu)制定零信任戰(zhàn)略和實(shí)施計(jì)劃。

使用此策略將跟蹤組織內(nèi)部零信任目標(biāo)的進(jìn)展情況。優(yōu)先考慮此行動(dòng)計(jì)劃，而不是采用來自成熟度模型的相對(duì)基準(zhǔn)評(píng)估，因?yàn)橛捎诜秶皖A(yù)期結(jié)果的差異，這些基準(zhǔn)可能無法在組織之間進(jìn)行比較。 

在零信任的情況下從理論轉(zhuǎn)向?qū)嵺`是一項(xiàng)挑戰(zhàn)。在沒有制定策略的情況下很容易陷入部署點(diǎn)零信任解決方案的陷阱。穩(wěn)健的戰(zhàn)略勢(shì)在必行，也是超越營(yíng)銷噪音以確保成功實(shí)施零信任的唯一途徑。