记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

零信任没有速成解决方案

2021-02-23 13:39

时至今日,关于“零信任”概念仍然存在种种定义层面的误解与争议。零信任不是一种产品或者平台,而是一种强调“永不信任、始终验证”以及“谁违规、谁担责”原则的安全框架。



因此,任何指望直接购买“零信任产品”的组织,都必然遭遇失败的命运。

供应商总有不计其数的销售手段,特别善于把自己的安全解决方案、平台甚至是功能部件描述成“零信任”的代表。似乎只要买了他们的产品,您的安全需求就能得到满足。但这显然是种误解,而且那些把“零信任”喊得特别响亮的安全厂商,自己都没能做到零信任。

01

01 不存在快速实现零信任的捷径


零信任的实现道路复杂且漫长,甚至很难定义明确的起点。为了给大家带来一点启发,本文希望从实现角度整理出一份实现零信任的方向指引。首先,千万不要指望买下某些产品就能马上实现零信任——根本就不可能。

组织需要制定达成零信任架构的战略,这套架构的涵盖范围应该超越纯技术与宣传流行语。零信任扩展(ZTX)生态系统就是个典型示例,这样的生态系统至少需要:

  1. 评估现有安全程序的“零信任”成熟度(人员、技能、技术、能力等),包括理解人们的工作方式、现有业务流程的实现方式、与现有技术能力的映射状态以及欠缺之处。
  2. 将成熟度评估结果与ZTX框架映射起来,了解组织在哪些方面表现出色、在哪些方面仍有不足,然后梳理出需要改进的部分。
  3. 考虑引入新的工具与技术改进这些不足,并将零信任战略引入现有业务、IT以及安全项目当中。

02

02 零信任不是某个工具或平台,而是一种安全框架


ZTX是一种同时囊括技术与非技术部分的生态系统。传统方案中的明确保护边界与安全实施策略往往不够灵活,大多由彼此隔绝的单体式解决方案设计而成。与之相反,零信任更多强调持续进行的安全审查与安全态势优化。


零信任的这种灵活性与集成性,帮助企业轻松适应业务变化。但企业对于安全厂商的宣传内容应保持审慎,深入了解产品的具体细节,并及时发现其中太过完美、不够可信的描述与承诺。

要求安全厂商解答关于产品的问题,例如他们展示的功能该如何嵌入ZTX生态系统。如果得不到答案,对方很可能根本就不了解零信任的本质。无论具体回应如何,安全厂商都至少要承认这样一项事实:零信任在不同的组织内对应不同的流程,任何一款现成产品都不可能一夜之间实现零信任。这种将解决方案宣扬为实现零信任捷径的行为,完全就是虚假广告案例,最终也只会令客户身陷失败的泥潭。

03

03 零信任不是一场冲刺,而是一段漫长的旅程


拨开炒作与虚假宣传的迷雾,我们最终还是要把零信任引导落地。零信任应该是一种新的常态。

COVID-19疫情大大改变了我们的工作方式,并迫使众多组织加快自身数字化转型与安全策略。通过认真研究这些安全解决方案是否适合ZTX生态系统中的各项原则性支柱,特别是能否匹配组织内的整体零信任战略,我们才能准确判断安全厂商的产品到底靠不靠谱。


总而言之,安全产品应该帮助组织在改善员工体验的同时达成“零信任”,而不只是业务发展道路上的又一块打着“保护”旗号的顽石。

原文链接:

https://www.zdnet.com/article/zero-trust-is-not-a-security-solution-its-a-strategy/


本文部分图片来自于网络,侵删。



知识来源: https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247495870&idx=1&sn=c19fb4b7fad49c65a9e736e5a0c1e07c&chksm=ebfab79edc8d3e8806192216f8ede26d718d5c0ce384f4ae640c0cca5bf4aad405757e05110a&scene=27&k

阅读:4316 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“零信任没有速成解决方案”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

🧚 🤲 🧜

标签云