零信任安全建设的新陷阱：投入过度

零信任安全理念在今天的企业网络安全建设中俨然已取得了成功。据云安全联盟在2022年的最新调查数据显示，几乎所有受访的企业正在实施或准备实施零信任安全建设，而77%的受访企业表示，将在2023年增加零信任安全建设的投入支出。但Gartner公司副总裁兼分析师John Watts日前表示：随着零信任概念备受炒作，一些企业组织的零信任安全建设出现了过度关注和投入的问题。

零信任安全应用现在仍处于早期阶段，Gartner研究发现，目前仅有不到1%的大企业真正实现了成熟的、可衡量的零信任计划，建设零信任需要时间，难以快速实现。

但市场对零信任解决方案的建设需求却在快速增长，当零信任概念由营销炒作快速转变为建设落地时，也意味着很多企业用户会遇到一些不可避免的陷阱。其中一个最新发现的陷阱就是，实际上很多企业可能过度关注零信任这个概念。现在摆在这些企业面前的问题与其说是对零信任投入不足，还不如说是投入过度。

如果企业过度期待零信任在安全方面带来的功效，就会忽视了做好其他必须的安全工作。Optiv首席信息安全官Max Shier认为：我们已经看到一些企业对零信任的期望变得不切实际。网络安全界没有灵丹妙药，零信任也不是。零信任无法解决组织面临的所有安全威胁。比如说，当企业越来越多地提供面向外部的应用和服务时，会引起企业威胁暴露面的不断扩大，但有效的攻击面管理并不能通过零信任控制措施来实现；另一种典例是安全威胁是软件供应链攻击，零信任技术有助于防止对应用程序代码的感染，但是攻击者发起类似于SolarWinds等攻击事件时，依靠零信任技术则难以解决。

此外，零信任是一项变革性的工作。企业组织短期内的过度投入，将不利于零信任安全建设的持续开展。在开展零信任安全建设之前，很多企业多年来在安全和网络软硬件设备上已经投入了大量的资金，企业组织应该尽可能利用好现有技术和设备，在此基础上实现向零信任战略转型。

与其他任何长期的战略项目一样，企业在开展零信任安全建设前，也需要制定科学的实施计划。NSTAC（美国国家安全电信咨询委员会）在其编写的《零信任和可信身份管理报告》指南报告中，列出了零信任实施的五个关键步骤：界定保护范围、映射事务流、构建零信任架构、制定零信任策略以及监控和维护网络，这强调了实施零信任将是一个长时间的优化迭代过程，也说明了零信任安全能力难以通过短期快速投入来获得，需要制定科学、合理的实施计划。

零信任安全建设的热潮始于2009年，即谷歌开始实施BeyondCorp计划，这被视为第一个成功的零信任建设项目实践。然而大多数的企业并不能像谷歌一样，具备在零信任方面大力投入的能力，也不需要将零信任安全建设的那么深入。不同企业组织对零信任的需求和目标都不相同，因此零信任的理想投入程度也不一样。

尽管谷歌在建立其零信任安全架构时，是从头开始建立了整个安全网络。但对于大部分企业组织来说，并不需要这样。零信任建设其实可以简单的通过增强环境中已有的安全控制开始。在实际建设中，一些企业组织可能只需要实施一些单点式零信任方案，就可以带来较大的价值。科学的规划与合理的投入对零信任安全的长期建设很有利，因为不仅降低了项目实施难度，同时也可以更快的从中获益。

Watts认为，企业组织应当首先搞清楚自己需要用零信任战略来解决的主要安全风险，并使用一些独立的零信任理念工具来逐步应对这些风险，而不一定是从一个全面的零信任平台做起。对于大多数企业来说，零信任架构的建设时机和方法，有多种实现路径可以选择。不同行业、规模和需求的企业，应该基于自身对零信任概念的理解，选择适合自己的零信任道路，这样才能提高安全技术和投资的有效性，为企业长期实现零信任之路打下坚实的基础。

需要强调的是，企业在开展零信任安全建设时，还应将用户体验放在首位，尽可能保证零信任战略在企业应用流程中的顺畅性。如果员工认为复杂的零信任方案阻碍了正常业务工作开展，就会设法绕过方案中包含的安全管控环节，不能真正实现零信任安全建设的预期目标。

https://www.crn.com/news/security/zero-trust-security-s-new-pitfall-to-avoid-over-investing