“零信任”安全架构将成为网络安全流行框架之一

    在各种各样的现有技术和监管过程支撑之下，零信任方法才得以完成保护企业IT环境的使命。
    它需要企业根据用户、用户所处位置和其他数据等条件，利用微分隔和细粒度边界规则，来确定是否信任请求企业特定范围访问权的用户/主机/应用。

    首先，要弄清楚用户身份，确保用户真的是他/她所声称的那个人;然后，要保证用户所用终端是安全终端，或者该终端处在安全状态;最后，还要有个条件策略，指定哪些人能访问哪些东西。

    零信任依靠多因子身份认证、身份与访问管理(IAM)、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。最小权限原则也是零信任倚赖的监管策略之一，也就是只赋予用户完成特定工作所需的最小访问权限。

    基本上，零信任就是公司企业收回安全战场控制权，在各部门应用网络分隔和下一代防火墙，控制网络接入的身份、对象、地点和时间，是从内而外地施行控制，而不是由外而内。
    现今的大部分IT场景中，零信任不仅仅是技术，还有关思维和过程。

如何实现零信任

    部分企业的IT部门已经实现了零信任的很多方面。他们通常已经部署了多因子身份验证、IAM和权限管理。其环境中也越来越多地实现了微分隔。
     然而，建立零信任环境不仅仅是实现这些单个技术，而是应用这些技术来施行“无法证明可被信任即无法获得权限”的理念。

    企业得从战略上确定哪些技术有助实现这一理念，然后再去买入这些技术。
在技术的应用上最忌讳病急乱投医，与其期待乱买来的药能治好病，不如先好好诊断诊断，弄清楚自身情况再采用相应的技术(药)。

    转向零信任模型不是一朝一夕之功，也不是件容易的事儿，尤其是在有不适应该新模型的遗留系统的时候。

    很多公司都在向云端迁移，这是个全新的环境，很适合应用零信任模型，可以从云端开始零信任旅程。公司企业，尤其是有着复杂IT环境和大量遗留系统的大型企业，应将零信任迁移看做是多阶段跨年度的一项工程。

    零信任迁移中的另一项挑战，是让员工具备该新理念的思维方式。比较不幸的是，大多数企业IT专家接受的教育或培训让他们默认企业环境是可信的，他们被教导得想当然地认为防火墙能将坏人挡在外面。人们需要调整自己的思维模式，要清楚当前态势下坏人可能早就在自家环境中了。

     公司企业还需认识到，零信任与其他成功的IT或安全原则一样，需要长期坚守，不断维护，而且零信任工作中的某些部分会更具挑战性。

    比如说，微分隔工作中，安全/IT团队就必须确保配置修改是恰当的，并更新不停改变的IP数据以保证员工工作或企业交易所需访问不被中断。否则，企业可能会面临工作阻塞问题。

    很多公司都会想，遭遇恶意软件导致业务中断，和配置错误导致停工一天，本质上都不是什么好事。微分隔方法所需的持续维护可能会带来很多临时应急的措施，或许会让网络更加脆弱。

    在遗留系统和现有环境中整体应用零信任模型所导致的复杂性，表明公司企业真的没有做好完全实现该模型的准备。

     因此，公司企业最好是从设计上就打造零信任，而不是在原有基础上修修补补。换句话说，应将零信任模型作为公司整体数字转型战略的一部分，实现那些有助于在云迁移过程中达成零信任的技术，淘汰掉那些老旧的遗留系统。

    而且，CISO、CIO和其他高管应参与进转向零信任的过程中，这样他们才能安排过程中各项事务的优先级，确定哪些动作应尽快完成，而哪些部分可以先等等。

    零信任迁移基本等同基础设施转型。信息安全并没有跟上数字转型/现代化环境的脚步。但企业必须转换安全管理的方式。想要整体安全，想要有安全准备度，就需要换一种思维方式。