零信任（Zero Trust）常被定义得模糊、缺乏激励措施，而且往往是一段没有尽头的旅程。正如一位身份认证经理调侃道：“我真想见见那12%没觉得困难的人。”

根据埃森哲（Accenture）近期发布的一份报告，近九成安全领导者在推动零信任落地时都遭遇了重大挑战。分析师与安全专家指出，零信任实施难点主要集中在三方面：

1、部署范围庞大而复杂；

2、各业务部门负责人普遍存在抵触情绪；

3、投资回报周期极其漫长。

报告直言：“即便是实施零信任这种最基础的安全框架，仍然对88%的组织构成重大挑战。这种脆弱性甚至延伸到物理世界，80%的企业无法有效保护其‘信息-物理系统’（cyber-physical systems）。”

定义不一 是最大的痛点。零信任从来不是一个固定标准，而更像是一种安全理念。不同企业因合规要求、地域差异、行业属性、合作伙伴类型，以及本地化系统、云环境、远程站点、IoT 与遗留系统等条件的不同，对零信任的理解与实施路径也各不相同。

塔塔咨询服务（TCS）全球网络安全负责人 Prashant Deo 指出：  “零信任是一场战略级转型，而非战术部署，因此全行业普遍面临困难。企业级零信任的实施是一个长期而艰巨的任务，需要分阶段、围绕具体用例来逐步推进。”

Deo 强调，零信任思维与传统安全理念存在根本冲突：

“几十年来，安全都是建立在网络边界内的‘默认信任’基础上。零信任模式要求彻底颠覆这种逻辑，推动组织转向‘永不信任、持续验证’的文化转型。这是一个重大的、极具挑战的变革。”

SailPoint 首席信息安全官 Rex Booth 认为，概念层面的混乱是摩擦的重要来源：  “零信任对不同人意味着不同的东西。我们不希望将零信任局限在一个理想化的模型中，告诉大家‘只有这样做才算零信任’。”

World Wide Technology 身份架构师 Karen Andersen 也赞同这一观点。她指出，术语本身的模糊性，让各企业在沟通与实施过程中难以达成一致。

国内零信任厂商为了交付给客户，通常会把其能力打包为类产品形态，例如零信任访问类（代表SDP）、零信任身份安全类（代表IAM）、零信任微隔离（代表MSG）。

零信任已被广泛认可为企业安全的关键框架，但88%的CISO仍在落地中面临巨大阻力。从定义不清、文化转型，到长期ROI的不确定性，这一切都说明：零信任不是一场单点部署，而是一场全局性、长期性的战略转型。