一条更实用的道路是将零信任视为一种架构学科，应用在能产生最大风险降低的地方，并从内向外构建。这首先要强化处理OT数据的企业应用和服务，在这些地方，组织可以现实地执行强身份验证、持续验证和最小权限。

在此基础上，运营商可以在OT与IT之间的关键数据流周围定义清晰的安全边界，而不是试图让每个现场设备都成为"零信任原生"。这种边界优先的立场有利于渐进式项目，使组织能够优先处理高后果系统、实现可见的里程碑，并避免拖累许多OT转型的"全有或全无"陷阱。

由于许多遗留设备无法安装代理，甚至无法生成日志，组织必须通过架构控制来间接保护它们。硬件强制的单向数据传输就是一个很好的例子——数据二极管在物理上允许信息从OT网段传出，但不能传回，无论软件如何配置，都能切断大类的远程攻击。

GME与Owl Cyber Defense的合作将这一概念应用于澳大利亚关键基础设施领域。通过这种合作关系，单向数据传输技术与过滤和标记相结合。这种设置允许将受限的OT和物联网设备的数据安全地摄取到现代的、符合零信任的环境中。

通过将这些设备隔离在二极管后面，运营商可以将稀缺的工程工作和证书管理精力集中在更能分析数据并采取行动的高级系统上，而不是试图改造现场的每个传感器。

一个在成熟度热图上看起来很好、但无法日常维护的零信任项目，本身就是另一种脆弱性。运营商需要考虑谁将管理公钥基础设施、证书续期如何自动化，以及如何在分段网络和分层控制中诊断故障。这些考虑应该纳入初始架构，而不是在第一个工具部署后才作为事后考虑。

对于许多澳大利亚组织来说，答案将是内部能力与可信合作伙伴的混合——无论是边界技术（如数据二极管和下一代网关）的托管服务，还是为设计零信任框架提供支持的专业服务。重要的不是在内部拥有所有技能，而是在出现问题时确保有正确的专业知识和遥测技术来快速发现和修复问题。

一旦组织就基于边界的策略达成一致，并接受OT零信任是一段旅程，挑战就变成了从哪里开始。

一套务实的步骤有助于将战略转化为执行，而不会让团队不堪重负。

• 了解网络上真正有什么：发现每个设备、系统和"影子IT"资产，包括藏在柜子或墙壁中的遗留硬件，并用物理检查验证自动扫描结果。这样做时，组织应该预期会发现承担关键功能却无人认领、未打补丁的设备，并相应地规划预算以进行零信任所需的现代化改造。

• 分段以缩小爆炸半径：创建微分段，使用户、服务器和应用程序只能与所需的对象通信，将任何破坏控制在一个小区域而不是整个网络。这通过VLAN、强制控制、下一代防火墙等机制实现，在高风险情况下还包括单向二极管（用于物联网、备份等）。

• 收紧访问管理和角色：定期审计和清理人员和机器的权限，消除随着人员岗位调动和网段之间的临时连接变为永久连接而出现的"权限蔓延"。这些审计确保预期的隔离和角色分离仍然符合实际情况。

• 切合实际地确定范围和预算：领导者需要评估业务风险，确定皇冠上的明珠资产和最高影响的攻击路径，然后估算在技术和技能方面需要什么来首先强化这些资产。使用成熟度模型来设定可实现的里程碑，让董事会能够理解权衡，而不是为开放式、企业范围的重建提供资金。

• 投资于人才和持续运营：成熟的零信任环境通常依赖数十种专业工具和紧密分段的网络域。如果没有理解这些组件如何协同的人员，组织创造的架构在纸面上是安全的，但在实践中却很脆弱。有些组织会在内部建立这些能力，而另一些则依赖可信的合作伙伴或部分网络领导，但所有组织都需要一个明确的持续运营计划，而不仅仅是初始部署。

对于关键基础设施运营商来说，零信任应该少被视为合规清单，多被视为降低不可避免的故障和入侵影响的持续旅程。这一旅程始于对遗留约束的诚实可见性，然后画出智能边界。从那里，在重要的地方使用硬件强制的单向传输，并将高级控制集中在可以完全应用的地方。

通过采取可管理的、基于边界的方法，澳大利亚组织可以在不让运营陷入停顿的情况下实质性地提升网络韧性，而不是试图对现场的每个设备进行不可能的即时升级。