隨著網絡邊界的消失，零信任技術成為行業普遍關注的焦點。但是，在零信任理念下，企業需要面對海量的權限梳理和資產識別工作，涉及企業各個業務系統、認證系統、終端設備以及訪問協議的對接，因此其建設的難度可想而知，很多零信任項目的開展最終都要面對建設周期長、運維壓力大、投入產出低的挑戰。

如果要想要取得零信任項目的成功，不僅需要企業用戶投入足夠的人員、時間、資源和預算去保障，同時還需要確保所選擇的零信任安全廠商真正具備應對建設挑戰的能力。因此，在零信任項目實施前，企業用戶需要向零信任安全廠商問清以下8個問題，并做出準確的判斷：

1、零信任安全廠商是否能夠幫助用戶充分利用現有的網絡安全基礎設施?

在采用零信任理念之前，很多企業多年來在安全和網絡軟硬件設備上已經投入了大量的資金。安全廠商要有能力在盡可能利用現有技術和設備的同時，向零信任解決方案轉型。

大多數企業其實已經實施了與零信任有關的部分要素，如身份管理、訪問控制、雙因子身份驗證、網絡分段等管理策略。這些企業需要的是一種全面、集成、可擴展的策略驅動方式來實現對零信任解決方案的全面落地，他們需要尋找能夠在極少改動企業內部現有基礎設施情況下，助力其進行零信任轉型的安全廠商。

2、零信任安全廠商是否真正了解用戶的零信任建設需求與目標?

一個優秀的零信任解決方案供應商在為企業制定方案計劃時，不會只是浮于表面的在管理層面前高談闊論，而是會根據企業組織目前所面臨的實際業務挑戰建立明確的解決方案，并在一定程度上保證這些方案的實施效果，力求達到企業組織所需的業務目標。

企業組織的具體目標可能包括為在家工作的員工提供安全的遠程訪問，保護本地和云端的敏感數據，或為軟件開發人員加強API安全性等。因此安全廠商要能夠根據企業組織的具體業務需求來定制可執行的、有效果的解決方案。

3、零信任安全廠商是否有能力將用戶企業中的身份管理融入到未來的整體安全控制措施中?

身份安全是新一代安全架構體系建設的基礎，零信任安全廠商要與企業組織的需求保持一致，并且有足夠的技術能力幫助企業在網絡系統中采用全面的身份管理策略來進行安全管控，這并不是一件容易的事。

目前，企業組織當中的身份管理缺口很多，例如，很多企業會忽略在員工訪問Web應用等場景下也需要采用精細化身份管理。有很多單點解決方案(如Web應用防火墻)可以填補這些缺口，但是這些單點解決方案如果不能得到很好的整合，將無法形成支持所有身份使用場景的整體解決方案。

而一家較為成熟的安全廠商，則可以通過安全編排、自動化和響應(SOAR)或擴展檢測和響應 (XDR)等工具幫助企業組織實現最大程度的統一身份管理。

4、零信任安全廠商是否能夠幫助企業組織合理規劃零信任建設的優先級，并快速取得階段性應用效果?

安全廠商在為企業組織建設零信任解決方案時，應將用戶體驗放在首位，盡可能保證零信任方案在企業內部實施流程的順暢性，否則員工會認為該方案阻礙了正常工作，會設法繞過方案中包含的安全管控環節。

針對這一問題，安全廠商可以在企業組織中部署基于數字證書的身份驗證，并逐步淘汰那些煩人的用戶名和密碼認證。如果企業中的員工是通過云或其他面向互聯網的應用軟件來訪問辦公應用程序的，安全廠商可以幫助企業建立以一種無需密碼、雙因子身份驗證支持的方式進行訪問，這樣企業員工對零信任方案的接受程度就會提升。

如此，企業高層在發現員工對零信任解決方案初步實施的認可之后，也更愿意為其他更為復雜的零信任項目提供資金支持。

5、信任安全廠商是否能夠幫助企業用戶實現全局化的數據安全防護?

構建零信任解決方案的核心目的，就是為了保障企業數據資產的安全，不被非法的訪問和竊取。如果不能實現全局化的數據安全防護，零信任安全建設將變得沒有意義。針對這一問題，零信任安全廠商應該以數據資產的發現為起點，首先要幫助企業進行數據資產清點，了解企業中有哪些數據、這些數據儲存在何處、如何跟蹤這些數據;然后，要確定有哪些數據數據敏感數據，并制定數據分級分類管理，同時對這些數據資產進行跟蹤防護和自動化管理。

6、零信任安全廠商是否能夠幫助用戶建立精細化的安全訪問控制策略?

零信任理念的宗旨是，企業中的任何人在得到充分驗證之前均視為不信任。但是很多安全廠商在為企業組織設置和執行精細化安全訪問管控方面做的并不到位。零信任安全廠商在幫助企業組織實施零信任解決方案時，需要了解企業自身的最終用戶有哪些。哪些用戶可以登錄?這些用戶在登錄后分別有哪些操作權限?例如，企業中某負責應收賬款管理的員工按規定每月只能在賬單支付時訪問一次某些文件夾。

7、零信任安全廠商是否能夠通過微隔離等技術，幫助用戶縮小企業網絡的攻擊面?

網絡隔離技術已存在很長一段時間，但零信任將這個概念推到了一種更加精細化的程度，即微隔離。在零信任網絡中，安全廠商需要具備幫助企業組織圍繞單個終端或單個主機系統創建分段的能力，這可以讓企業內部員工的訪問行為受到絕對管控。

比如，過去人力資源部門整體可能都處于同一網段上，但安全廠商在企業內部實施了微隔離之后，人力資源主管和部門其他員工可能分別有屬于自己的網段，定義明確的防火墻規則可以規定他們可以做什么、不可以做什么。如果企業組織想要采用微隔離方法，這就要求安全廠商需要具備非常強大的網絡配置和控制能力。

8、零信任安全廠商是否具備快速可靠的系統事件應急響應能力?

沒有百分百的安全，對于網絡安全系統來說同樣會有發生故障的時候，一旦用戶企業的身份安全管理系統或者其他零信任安全設施出現了故障，安全廠商不僅要考慮單點故障本身的修復，同時還要考慮可能出現的更為廣泛的、連鎖性的安全風險，因為導致這些單點故障的安全事件可能包括了針對性的黑客攻擊、員工惡意行為等潛藏的危險。事件發生時，安全廠商要有能力幫助企業全面分析故障原因，是否存在被暴露的企業組織的賬號信息?是否會導致非法的第三方訪問?是否存在外部攻擊者通過橫向移動來繞過零信任的防御策略?

針對突發性的安全事件，安全廠商應該在為企業部署零信任解決方案時就盡可能全面的考慮到，并建立完善的補救策略。安全廠商應該幫助企業組織定期進行安全事件處置演練，從而在安全事件發生后，能夠確保企業組織在第一時間知道應該如何進行最有效的處理，最大程度的降低企業損失。

參考鏈接

https://www.networkworld.com/article/3660776/8-questions-to-ask-vendors-about-zero-trust-network-access-ztna.html。