零信任不是一种安全解决方案,而是一种策略!

零信任的真正定义方面存在着很大的挑战和误解。零信任不是一种产品或平台,而是一种立足于“从不信任,始终验证”和“假设被攻击”这个概念的安全框架。

我发现,零信任的真正定义方面存在着很大的挑战和误解。零信任不是一种产品或平台,而是一种立足于“从不信任,始终验证”和“假设被攻击”这个概念的安全框架。如果组织试图将零信任作为一种产品来购买,只会陷入失败的境地。


供应商(尤其是想出售一整套产品的供应商,即全系列供应商)设法让您相信:他们出售的安全解决方案、平台或设备就是零信任;您只需购买他们?6?7?6?7的解决方案,即可满足自己的需要。这是错误的。供应商只是支持零信任,他们本身不是零信任。我的同事Jinan Budge曾写过一篇报告,戳穿了诸如此类的零信任误区。

没有通向零信任的捷径


零信任这条不容易,很难弄清楚从哪里开始上路别听信供应商的那一套:您购买某个产品后,立即就搞成零信任实际情况不是这样

组织需要制定一项策略才能实现零信任架构,这种架构不单单囿于技术和流行语。零信任扩展(ZTX)生态系统对此大有帮助,最低要求包括如下

  • 评估现有安全计划的零信任”成熟度(人员技能技术能力等)。这包括了解人们在如何完成工作以及如今现有业务流程是如何进行的对照现有技术能力,了解差距所在

  • 将这番成熟度评估的结果与ZTX框架对应起来,了解您在哪些方面很强、哪些方面很弱,具体来说就是需要改进哪些能力。

  • 考虑采用工具和技术以弥补能力薄弱的方面,并将实施的零信任系统集成到现有的业务、IT和安全项目中。

零信任是一安全框架,不是一种工具或平台


ZTX是包含技术部分和非技术部分的生态系统保护边界和其他前的安全策略很难适应变化,因为它们是围绕互相没有集成起来的整体式单点解决方案设计的。然而,零信任却是奉行不断审查和优化这一原则而设计的

零信任的持续性和集成性旨在轻松适应业务变化。组织需要对供应商的噱头保持警惕,深入了解供应商产品方面的细节,他们推销的技术好得难以置信时就要留个心眼

询问您在考虑的那家供应商他们描述的功能ZTX生态系统中所处的位置。如果他们描述不了这是个非常明显的信号表明他们不零信任。安全供应商需要向客户表明这个事实:零信任是对每组织来说都不同的一段旅程,别再宣传零信任来就行的产品如果供应商出售的解决方案号称是通向零信任的捷径只会让客户面临失败

零信任不是一场竞赛,而是一段连续的旅程


虽然供应商继续将零信任作为一种新潮、酷炫炙手可热的新技术来销售,但到头来,我们需要扎零信任是新常态。新冠疫情大大改变了我们的工作方式,迫使许多组织加快数字化转型和安全策略。花点时间看看这些安全解决方案是不是货真价实,为此要仔细研究它们多适应ZTX生态系统不同支柱最重要的是多适应贵组织的总体零信任策略。它们应该有助于使组织能够在改善员工体验的同时实现零信任,而不应该是阻碍业务流程的另一个安全工具。

作者:Steve Turner是Forrester研究公司的分析师。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/339.html

发表评论

登录后才能评论