零信任的概念于2009年首次推出,之后由于云优先基础架构和远程办公的兴起越来越受企业欢迎。现在,零信任已经成为网络安全行业的常用术语。只是,不少厂商和销售团队开始将零信任产品化,导致外界对零信任产生了很多误解。本文将针对有关零信任最常见的误解依次进行解释,帮助读者了解真正的零信任安全。
1
误解1:零信任是一种产品
零信任是有效保护现代IT 环境的一种全新方法,很多厂商在营销时就会重点宣传零信任的重要性,导致“零信任”一词在安全市场随处可见,很多解决方案都贴上了“零信任”的标签,这就让客户误以为零信任单纯是一种产品或解决方案。
澄清:零信任是一种框架
真相是零信任并不是什么“灵丹妙药”,市面上虽然确实有产品和解决方案可以帮助企业实施零信任或支持相关功能,但没有一种产品能让企业能马上彻底实现零信任。
2
误解2:零信任就是不信任用户
“零信任”这一名称很容易让用户误解,以为用户在企业内部不受信任,或者用户被企业视为不值得信任。这种误解可能会在用户间产生阻力,最终可能阻碍甚至破坏零信任计划的落实。
澄清:零信任中,用户要先通过身份验证再获得信任
零信任不等于完全没有信任,确切地说是在身份验证(免密认证、多因素认证 MFA 等)之前没有信任,实际上是从网络边界内设置隐式信任的旧模型的一种过渡,零信任需要在每次访问中进行身份验证,反复验证既可以防止违规,也可以阻止横向移动攻击,目的都是降低企业的网络风险。
为了抵消频繁验证带来的体验摩擦,就需要单点登录(SSO)和条件访问策略减少强制用户登录和多因素认证 MFA 的次数,同时保障安全性。
单点登录(SSO)减少了用户需要手动认证的次数;一旦用户登录,单点登录(SSO)就会通过 SAML 和 SCIM 等安全协议将用户连接到应用。另一种方法是对条件访问进行编程,在用户满足安全登录条件后跳过多因素认证(MFA)等部分登录要求,但对于未受保护环境中的用户可能会增加访问限制或拒绝访问。总结来说就是通过一组情境化和智能化的策略改善用户体验并提升安全性。
03
误解3:零信任不够人性化
很多企业都误以为人性化和安全性就像鱼和熊掌不可兼得,这可能源于过去采用新技术时,总是认为好用、快捷和安全是相互排斥的。虽然现代安全技术已经迁移到云端,也对用户更友好,但这种误解仍然深深植根于用户、IT 部门和企业高层的脑海,阻碍了企业的零信任部署。
澄清:零信任可以提升人性化的用户体验
零信任框架中,可用性是重要因素之一,可用性需要融入到产品中,很多现代安全解决方案都支持零信任框架:利用多因素认证 MFA 推送通知减少用户错误,移动设备管理(MDM)支持用户在个人设备上工作,两者都是零信任的关键组成部分。
虽然人性化工具往往更有可能出错,也可能由于变通产生漏洞风险,但在实施得当的情况下,零信任的安全性和可用性实际上是相辅相成的,可用性更高有助于减少人为错误和影子 IT,最终提高安全性。
04
误解4:零信任是一站式解决方案
将单纯的 IT 产品作为零信任方案频繁营销已经导致外界误以为零信任是一站式的解决方案。事实上,零信任的部署并没有一劳永逸的方法。
澄清:零信任是长期计划
Forrester 预计零信任的部署大约需要两到三年的时间,主要是因为涉及范围广,并且需要针对不同环境进行战略化定制。厂商发布的实施路线图和实用指南为企业部署提供了一定指导,但具体落地还要因企业而异。
05
误解5:零信任太复杂了
零信任的完全部署周期较长,企业也因此认为零信任的实施过于复杂,很可能让没有时间深入研究的 IT 专业人士和不愿投资复杂项目的领导层望而却步。其实,零信任的概念很简单。
澄清:零信任可以很简单
对于零信任的误解导致企业对零信任的真正含义也产生了混淆,对于如何实施也缺乏有效指导。零信任的核心是在企业网络中任何地方使用安全的多因素认证 MFA 执行最小特权(PLP)原则,此外还有强大的监控和风险应对措施予以支持。
关键词: 关于零信任的5大误解 你中招了吗 单点登录
