[调研]企业高管：如何在2022年实现零信任

可信计算

1年前

　　企业高管明年将会优先考虑零信任安全策略，希望能够在早期取得长足进步。

　　云安全联盟（CSA）最近发布的一项调查表明，80%的首席技术主管称零信任是其组织的首要考虑，77%的高管表示将增加零信任支出予以支持。

　　许多组织增加的零信任资金支持可谓庞大，超过五分之二的高管报告称增加了26%以上。

　　CSA对全球800多名IT和安全专业人士进行了调查访问，其中包括200多位首席级高管。报告中写道：“随着数字化转型的推进、新冠疫情期间劳动力的转移，以及美国网络安全行政令的宣布，零信任已成为企业防护的头号保证。”

　　调研显示，对于大多数组织而言，零信任策略依然是相对较新的网络安全路线图，53%的受访者称其初步实施零信任策略还不满两年。他们用来指导策略规划的标准到处都有，遍布于美国网络安全与基础设施安全局（CISA）、Forrester ZTX、IEEE、NIST和CSA标准中。多数组织采用的是CISA标准，33%的受访者报告称使用CISA标准来指导其零信任策略。

　　零信任是一种不断发展的安全模型，旨在将许多长期存在的安全概念综合到一起，这些概念包括最小特权原则、基于风险因素的条件访问，以及分隔——不仅仅在网络级别，也在应用程序和工作负载级别。而其核心概念在于消除网络中IT长期以来赋予已登录用户和设备的隐含信任。

　　零信任的目标是用一种持续评估的自适应授权模式来代替这种隐含信任，该模式提供有限的访问权限，并且权限不仅仅基于身份，还基于操作和威胁上下文。实施零信任需要很多活动组件，例如强大的身份和访问管理（IAM）、有效的网络策略执行、坚实的数据安全和高效的安全分析。上述领域中很多都是组织以往已经投注大量网络安全投资的，现在需要解决的只是如何整合和创建更加有效的架构来利用这些投资的问题。

　　有鉴于此，尽管很多组织表示自己踏上零信任之旅仅一两年，但本次调研的受访者报告称，在端点/设备成熟度、应用程序安全、IAM、数据流管理、网络安全管理，以及用户行为与资产管理等核心零信任领域上，自己的成熟度已达初级或中等水平。

　　零信任策略执行过程中，基本策略、架构和集成工作可以将伪装者与竞争者区分开来。RackTop系统公司首席执行官Eric Bednash长期浸淫国防和金融领域的安全与技术工作，他表示，组织必须了解IT和安全技术栈如何结合在一起，才能开始他们的零信任之旅。

　　“要从深入了解自身整个架构和业务流程开始，了解这些东西是怎么联系在一起的。这可不仅仅是某个组成元素的问题。要谨记，零信任不是某个东西，而是一种存在方式。”Bednash说道，“这是万物应该如何互操作的指南，是一种方法论，而不好像‘这个东西是零信任，那个东西不是’这么简单。零信任没有捷径可走，所以实现起来如此困难。”

　　正确实现零信任需要组织高层的大力支持，要有足够的专业知识和人员配备，还需要明智的变革管理。CSA的调研结果表明，40%的组织缺乏知识和专业技能，34%的组织没有内部协调或支持，23%的组织表示不愿变革阻碍了前进的道路。

　　专家认为，在许多方面，克服这些业务和流程障碍将需要灵活变通而有原则的沟通。

　　“想要有效管理变更，你需要传达行动步骤，并一点点逐步实施。你或许知道自己的目标，甚至还签了网络解决方案合约，但你无法一次性实现所有。这太令人郁闷了。”Perimeter 81联合创始人兼首席执行官Amit Bareket表示，“变革管理的艺术在于知道要实施多少——所以不要一次改变太多，但也不要无限期地拖延过程。”

　　云安全联盟调研报告：

　　https://cloudsecurityalliance.org/artifacts/ciso-perspectives-and-progress-in-deploying-zero-trust/