即使按照网络安全行业大肆宣传的标准,零信任 (ZT) 的兴起和崛起也是一个不容忽视的现象。网络安全领域的任何人都不能忽视这一层面的利益,尤其是所有托管服务提供商 (MSP),他们的工作是将客户利益与他们自己的利益相匹配。
零信任的崛起可能听起来很戏剧化,但这个词本身可以追溯到十多年前。对于客户而言,似乎发生了变化的是应用它们的紧迫性和这样做的动机。
什么是零信任?
从广义上解释零信任似乎很容易。使用传统边界安全模型的网络是基于高信任许可的思想。设备、用户或应用程序必须做的就是提供一个凭证,例如用户名和密码,以访问该网络中的大量资源,直到它断开连接。
正如 NIST 明确指出的那样,零信任会颠覆信任。任何连接到同一网络的东西都会被自动怀疑。因此,它必须使用密码之外的额外身份验证层来验证自己,之后它的权限仍然受到严格控制。即便如此,它也永远不会被完全信任,因为它总是被认为随时可能变成恶意的。
将零信任视为销售策略是一场悲剧
不幸的是,零信任之所以如此引人注目,因为它是一套原则,而不是一种产品,对于任何销售专业知识和服务(如 MSP)的人来说都是棘手的。零信任描述了要做什么,但不准确描述应该如何实现。什么是零信任取决于相关的网络、应用程序和用户,这会因环境和组织而异。实施它带来了许多挑战。
危险在于,这种抽象的东西会被客户误解或被视为一种销售策略,从而引发怀疑。这将是一场悲剧,因为如果正确理解并认真实施,零信任将为各种规模的组织带来巨大的价值,尤其是决定投资服务以解决其安全难题的中小型企业 (SMB)。
那么,MSP 应该如何传达零信任的价值呢?
1) 了解客户驱动力
有几个因素可以解释零信任的兴起,其中最大的原因是对传统安全技术的信心已崩溃,其中很多(防火墙、防病毒、基于密码的访问控制)可以追溯到更早且挑战较少的时代.
这种感觉随着最近远程办公的兴起而变得更加强烈,这使人们认识到周边安全的局限性。组织被迫依赖端点安全和 VPN,并在可能的情况下改进身份验证。随着预算捉襟见肘,盲点成倍增加,尤其是不通过企业数据中心的云服务,将可见性和信任问题提升到了首位。
客户还受到网络保险政策的影响,这些政策现在需要更好的保证和外部测试,并希望将根据 NIST 等行业网络安全框架衡量的风险降至最低。随着网络攻击的激增将保单成本推高,客户越来越受到任何可能降低保费的事情激励。
2) 零信任是为了降低风险
零信任有时被视为是阻止事情发生的一种方式,例如阻止未经授权的客户端。这没有抓住要点。零信任的一个潜在吸引力是,它提供了改进网络资源、用户和数据管理的可能性,同时还能降低成本,使技术采用更加容易。
这在中小型企业领域尤为重要,因为在中小型企业领域,技术过载和费用是一个现实问题。从这个意义上讲,零信任反映了促使更多组织首先使用托管服务的原因:它使生活更简单,财务上更可预测。
3) 零信任带来竞争优势
越来越多的组织认识到,通过与服务提供商合作形成的一致的网络安全战略,使他们比落后的竞争对手更具竞争性市场优势。这远远超出了公认的合规和监管理念,后者的运作时间更长。在某些情况下,网络安全现在甚至可能是生死攸关的问题。
零信任对 MSP 的好处是长期关系
零信任已经对客户购买的产品和服务类型产生了重大影响。然而,实施阶段将需要数年时间,这意味着长期的销售潜力以及随着时间的推移与客户建立更牢固关系的可能性。
对于托管服务天生适合的 SMB 部门来说尤其如此。越来越多的 MSP 必须解决他们的服务如何与零信任网络安全相吻合的问题。MSP 受益于零信任,因为这意味着与客户的长期关系超越了传统的销售周期,在出现问题后,MSP才会联系客户。