“零信任”这一术语是否已经到了被一些供应商滥用或歪曲的地步?这是因为他们希望利用零信任在市场上的发展趋势。
对于供应商来说,这是一个棘手的问题,因为不可能将任何单一产品或服务标记为全面的零信任解决方案。采用零信任架构(ZTA)这一术语可能会更好一些——这是一个要求企业根据业务优先级及其当前安全基础设施采取措施的框架。
因此,虽然企业开始转向零信任架构很重要,但它并不像采用单一供应商的能力作为综合解决方案那么简单。但是,当任何一个新技术解决方案出现时,所有的营销和炒作可能会迅速搅乱局面,那么人们会看到广泛的“零信任清洗”吗?毕竟,并不是所有遗留产品都符合零信任法案。
行业专家指出,零信任架构(ZTA)是一种方法论或途径,而不是现成的单一产品或解决方案。同样,也没有“一刀切”的答案,不同的企业需要根据自己的需求确定优先级。
但能否采取措施来描述一个“理想的”零信任模型?对于至少应该包括的内容,肯定有一些很好的定义。例如,美国国家标准与技术研究所(NIST)发布了一套关于零信任架构(ZTA)应该包含哪些内容的七项原则。非常重要的是,这并不意味着排除任何现有的安全保护。
此外,最近看到美国总统拜登最近发布了一项行政命令,以改善该国的网络安全,其中包括采用零信任架构(ZTA)。该命令中有很多提到零信任架构(ZTA),其中包括:“美国联邦政府必须采用安全最佳实践;向零信任架构迈进;加速转向安全云服务,包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化对网络安全数据的访问,以推动用于识别和管理网络安全风险的分析;并投资于技术和人员以匹配这些现代化目标。”
与任何其他新技术或方法一样,人们等待任何“官方”零信任架构(ZTA)认证或实用标准。虽然美国国家标准与技术研究所(NIST)为通信、技术和网络安全实践制定了一些标准,但该机构尚未为零信任创建任何标准或认证——他们只是讨论了零信任架构的目标。也许在营销和销售零信任架构时缺乏相关认证或标准是缺乏凝聚力的一部分原因。有了这些标准,供应商至少会有可靠的指导、更好的定义和清晰度。
尽管有认证或标准,但当谈到零信任架构时,市场上肯定存在一些混乱,而这种混乱可以为一些供应商提供充分利用的条件。
企业可以结合使用旧系统和新产品来构建零信任架构,而不必担心必须完全重新开始。
企业向其供应商询问一些直截了当的问题通常有助于揭示他们对零信任架构(ZTA)的理解。例如,询问他们提出的解决方案如何适合企业的零信任架构,而如果他们无法将其可视化,那么他们可能仍然认为零信任架构是需要购买的现成产品。当供应商可以将他们的解决方案作为客户整体旅程的一部分,并且可能对每个客户都非常不同时,那么成功是更有可能的结果。
经销商和托管服务提供商处于帮助其客户采用零信任架构的理想位置——需要采用来自多个供应商的各种技术,以及与现有基础设施的相关集成。基于这样的旅程可能需要长达数年的时间,这是一个理想的机会,可以采用咨询方法进行长期销售。零信任是一项战略性IT举措,大多数首席信息官肯定会转向战略和规划。
无论企业处于零信任架构之旅的哪个阶段,都不能忽略安全性。企业的业务需求和安全要求与其他公司不同,旧系统的状态也不同。而了解所有这一切的合作伙伴非常适合帮助企业继续其富有成效的旅程。