社区编辑申请
注册/登录
零信任的六大误解
安全 应用安全
业界对零信任的关注与日俱增,关于零信任,目前普遍存在如下几种迷思和误解。

业界对零信任的关注与日俱增。IDG《2020年安全重点研究》中的数据表明,40%的受访者主动研究零信任技术,相比2019年的仅11%可谓是飙升;而18%的受访企业已经部署了零信任解决方案,这一比例是2018年8%的两倍还多。另有23%的受访者计划在未来一年里部署零信任。

但是最近,佛瑞斯特研究所分析师Steve Turner在与企业客户的对话中发现,“由于市场炒作盖过了理性的声音”,多达50%-70%的客户完全误解了零信任的基本概念和原则。

他补充道:“当我们立足现实,指出他们目前的处境,在零信任问题上他们就会开始经历悲伤的五个阶段了:认识到自己手里的零信任并非自己想象的那样。”

关于零信任,目前普遍存在如下几种迷思和误解。

误解1:零信任解决的是技术问题

零信任解决的可不是技术问题,而是业务问题。Turner表示:“第一步就是坐下来好好理清自己想要解决哪些业务问题。”

提出零信任模型的前佛瑞斯特分析师John Kindervag也强调要重视业务成果,并建议首席信息安全官(CISO)让业务部门也参与进来。“如果不了解公司的业务需求,怎么可能获得成功?”

误解2:零信任是一款产品或产品组合

很多人都误以为,只要部署了身份管理、访问控制和网络分隔,就顺理成章地成功实现了零信任。但托管安全服务提供商ON2IT网络安全战略高级副总裁Kindervag指出,事情并非如此简单,零信任不仅仅是一套产品或一组策略,“而是旨在阻止数据泄露的战略计划”。身为咨询公司埃森哲首席信息安全官,Kris Burkhardt则将零信任描述为用于构建安全技术环境的“一套原则”。

Burkhardt补充道:“没人能卖给你一套零信任解决方案。如果你指望买套产品来实现零信任,那你就走错路线了。”

佛瑞斯特分析师Turner在与客户的交流中发现,有些客户虽然购买了号称能实现零信任的产品,但这些产品“丝毫没有改变他们的安全方法”:公司依然未分类数据,也没有识别关键资产或改变网络流;员工、供应商和承包商也仍旧拥有过多的权限。

误解3:零信任意味着不信任公司员工

Kindervag解释道,零信任方法并不是为了让系统可信,而是要从IT系统中消除信任的概念。“信任就是个漏洞,数据泄露事件之所以会发生,往往是系统中的信任遭到了利用。我们并不是要让系统变得可信。”

但这一点有时候会被误解为公司突然就不信任自己的员工了。所以,CISO需要做好解释工作,声明零信任方法并不针对个人,而是跟要求刷卡进门没什么两样。实施这一方法的最终目的是为了防止数据泄露,让公司每一位员工免遭其害。

误解4:零信任难以实现

Kindervag对零信任难以实现的想法嗤之以鼻。“这不过是不想你这么做的人生造出来的谣言而已,因为零信任会干掉他们的深度防御模型。”Kindervag认为,零信任并不复杂,而且显然没有公司现行的安全方法那么昂贵——这还是在没考虑数据泄露事件成本的情况下。

在零信任实现难度问题上,Turner持有相同的观点。他认为,现在实现零信任比以前容易多了:这些工具本身就改进不少,供应商如今也在跨产品线协作。“现在不需要太多投资就能轻松搞定。”

误解5:通往零信任的正确道路只有一条

Turner表示,随着时间推移,出现了两条开启零信任旅程的道路:从安全侧出发和从身份管理侧出发。有些公司从身份管理入手,迅速部署多因素身份验证措施,“简单快速地直通罗马”。

另一些公司则采取以网络为中心的方法,先进行略有点难度的微分隔。

误解6:部署SASE就意味着拥有了零信任

作为将安全控制置于云端的服务,安全访问服务边缘(SASE)最近成为了迈向零信任的流行方式。然而,Turner指出,很多公司在新冠疫情初期的一片混乱中匆忙上马SASE,不过是为了解决员工居家办公的迫切问题而已。

SASE可以解决边缘位置的零信任问题,但随着员工回到办公场所,公司就会意识到自己仍在按照传统的边界安全概念运作。Turner表示:“SASE解决方案本就不是为混合模式而生的。现在公司应该从头开始,将零信任作为全面战略在整个公司范围内铺开。”

链接地址:http://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247491872&idx=1&sn=40d2f96444dcb1a83d28834b5b06765f&chksm=c144939df6331a8bdece5e5fcebecaf49dda65dbaa973d395f127920030be162662897463488&mpshare=1&scene=23&srcid=0122LCibphp71VqYc5amItQx&sharer_sharetime=1642780940835&sharer_shareid=9603544ecd5d7f3dc66603ae089636f4#rd

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-05-18 23:42:08

网络安全安全分析工具

2022-05-08 23:13:43

零信任网络安全

2022-05-09 15:08:56

存储厂商NFV领域华为

2022-05-20 14:54:33

数据安全数字化转型企业

2022-05-16 14:07:44

2022-04-21 11:52:16

零信任网络安全

2022-04-26 06:04:11

零信任网络安全

2022-03-24 12:03:40

网络安全零信任

2022-05-10 16:37:25

零信任网络安全

2022-05-17 14:03:42

勒索软件远程工作

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-11 14:48:33

腾讯云寿险民生保险

2022-04-20 10:51:23

零信任网络安全

2022-04-29 11:27:26

2022-05-10 16:04:40

编程语言PythonC语言

2022-05-16 10:36:08

GitHub开源项目

2022-03-14 13:47:06

零信任网络安全

2022-01-26 14:55:02

2022-05-16 10:49:28

网络协议数据

2022-05-11 14:05:11

区块链网络安全存储

同话题下的热门内容

网传搜狐遭遇史诗级邮件诈骗,张朝阳回应来了网络安全攻防演练中不能忽视的API风险恶意技术时代下的负责任技术云原生时代来临,云安全技术将何去何从?38万个Kubernetes API服务器暴露在公网把手机变“肉鸡”—移动应用攻击的新特点与防护支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金新型勒索软件Cheers正攻击VMware ESXi 服务器

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号