今天出差,到机场早了,有点无所事事。但,脑子里却有一个强烈念头促使我把一个相对敏感的话题继续下去。
“零信任”应该是这些年网络安全行业中最热的一种存在,各种配套(检测认证、体系支撑等)也是层出不穷,在行业内好像不谈、不支持“零信任”就要落伍了似的。作者对于此种现象一直如鲠在喉,总想找时机说点啥,但,看着大家对“零信任”那种痴迷的状态,我到是有点不自信了!()
鉴于当下网络安全行业的现状,作者还是鼓足勇气给“零信任”泼点凉水。
“零信任”之于网络安全,是一把枪,能伤敌人,更能伤自己!
分析如下:
1、网络上有敌人更有朋友,一视同仁的不信任,会误伤很多人
绝大部分人员利用网络是为了满足自身合法的业务需要,哪些利用网络来搞破坏的毕竟是少数;
有些网络基本上都是自己人在用,并无外人参与;
网络应用服务对象一定是有区分的,毕竟“不同”才是最大的事实。
在上述几个场景中落实“零信任”,是否能取得好的效果着实不好说
2、安全和易用本身就是一对矛盾,“零信任”无益于缓解这个矛盾
“零信任”的出发点是安全你的安全,完全是从安全角度出发
基于对一切都不信任,就需要逐一建立信任后,业务才能继续
这种逻辑,在易用层面一定大大折扣
3、信任是商业、合作、协同等行为的基础,“零信任”容易被服务对象排斥
网络的价值,是为更好的协同和共享开放,“零信任”与此价值并不太一致
规则和秩序所鼓励的,无不是信任,“零信任”就容易在价值观层面的先天不足
4、鉴于安全和业务之间的关系,“零信任”无益于提高性价比,成本偏高
安全保业务,业务促发展,二者要平衡,不能顾此失彼,更不能厚此薄彼
因“零信任”体系严谨,落实就比较复杂,与业务平衡形成平衡并不容易
正所谓,安全没有绝对,只有合不合适,“零信任”之于此并无优势
5、“零信任”与“网络安全为人民”、“网络安全平民化”等理念相融性不强
网络安全不是一两个人能完成的,需要所有人的参与和努力
参与者能主动的、积极的、负责任的、自愿的参与这项工作很重要
所以,在上述的五个方面,“零信任”都会面临一些问题!
要发挥“零信任”的价值,就需要正确的认识和应用她
1、“零信任”是网络安全基础/技术思想,绝非网络安全工作思想
“对一切表示怀疑、对所有都表示不信任”,这是很好的网安技术思想
网络安全工作思想需要照顾场景、人性、成本、发展、社会等多因素
把技术思想生硬的作为工作思想,面临的困难将是巨大的
2、“零信任”要有所为、有所不为,不能硬上,要选对场景
任何的体系都会有场景性,“零信任”也是这样,要选对场景
未知性大、可控性差、变化性大的场景更适合“零信任”
3、永远要最大限度满足“人性”需要,反人性的东西一定是困难重重
落实网络安全工作,无论什么样的手段,都要充分考虑人性层面的满足性
网络安全存在全局性问题,就是当下众多工作没有考虑人性需要
“零信任”在人性需求满足上还需要做很多工作
4、“零信任”是技术,落实到网路安全工作需要找到有效的桥梁
“零信任”的落实,从技术到效果中间还有很多的工作需要做
当下,相关体系、支撑等多聚焦在技术和产品层面,中间环节涉足不够
从技术思想到工作落实,中间的方案、工具、经验等才是关键
所以:
当下的“零信任”拿来做技术探讨、产品实现都没有问题
但是拿来做工作落实、场景构建就差的远了!
最后要说:
“零信任”在网络安全行业中,地位显赫,贡献卓著,这不可否认
但,“零信任”在身的片面性、局部性,也会给网络安全工作带来阻碍
辩证看“零信任”,不移花接木,不自欺欺人,才是用好“零信任”最佳办法
对于“零信任”这些并不复杂的问题,众多大机构(智库)都睁一只眼闭一只眼,还煽风点火,搞测试认证,想想其实挺有意思
本文对“零信任”仅作一点点分析,挂一漏万、抛砖引玉,希望引起从业者更深入思考。
解释:作者对“零信任”本身并没有成见,只是当下行业内的一些现象有点看法,网络安全行业需要严谨,但,片面的严谨会适得其反,毕竟网络安全需要考虑和兼顾的外部内容不少。
本文所提及的观点若是伤害了您,希望见谅,毕竟才疏学浅,着实不值得!
【注:以上仅是作者肤浅认识,仅供参考!】
来源:与智慧做朋友
作者:李志勇 ( 微信号:qichelaba )
声明:文章中部分图例来源于网络,版权并不属于作者
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...