零信任并不是一種產品，而是一種基于深度防御和最低特權訪問概念的安全方法。

在零信任及其實施方面，似乎每個人都在玩“猜迷游戲”，并且是從政府指導開始。美國政府在今年1月對美國管理和預算辦公室(OMB)針對聯邦機構和部門的聯邦零信任戰略的評論既務實又充滿抱負。他們的觀察以Log4j漏洞為例，很好地總結了這一點：“零信任策略將使機構和組織能夠更快地檢測、隔離和響應這些類型的威脅?！?/p>

然而，要使零信任戰略取得成功，實施者必須了解它是什么以及它所依據的基本原則。

零信任是新事物嗎?

在關于零信任主題的研討中，Trellix公司首席工程師兼漏洞研究主管Douglas McKee在Black Hat會議上指出，現實情況是“深度防御”和“最低特權訪問原則””是流行術語“零信任”背后的基本要素。

與業務運營合作的首席信息安全官必須協作并協調對所需信息的訪問，以便其同事可以在他們的整體任務中取得成功。他們需要的是不受阻礙地持續訪問信息。這需要對整個企業生態系統的需求進行持續和動態的監控。當個人改變角色時，他們的需求將會調整，他們允許的訪問權限也會隨之調整。當員工離開時，必須終止他們的訪問。這說起來容易，但對于很多企業和組織來說似乎很難完成。

正如Code42公司首席執行官Joe Payne所說：“讓員工能夠以受信任的方式完成工作，并在企業的保護傘下，這樣如果他們冒險離開企業的流程和程序，例如加載到基于Web的存儲，他們就會立即得到糾正?！?/p>

沒有最低特權訪問權限，零信任無法存在

這就是問題所在。如果首席信息安全官不執行最低特權訪問原則，那么就不存在越界風險，因為訪問是允許和授權的。檢測個人竊取信息是一項艱巨的任務。員工遵循企業的所有流程和程序，只獲取他們可以自然獲取的信息，他們可以幾乎不受懲罰地收獲。

零信任的感知問題

零信任比流行術語更復雜。Egress公司產品管理副總裁Steve Malone表示：“不幸的是，零信任存在一些認知問題：供應商經常錯誤地陳述它，從而導致買家產生誤解。關于零信任最重要的一點是它不是一種產品。這不是可以從單一供應商那里購買的東西。零信任是一種安全方法、技術框架和最佳實踐，企業需要隨著時間的推移在其IT環境中定義和采用。”

健康且持續的遵守使每個人都保持警覺，并專注于如何訪問、移動和存儲信息。這種思維方式需要從企業高管到個人貢獻者都接受，因為安全實施可能得到首席信息安全官及其信息安全專家團隊的支持，因此在運營和生產中發揮了重要作用。

單一產品無法實現零信任

Malone繼續說道，“一些企業很難實施零信任戰略。我看到的最大錯誤是安全團隊誤解了真正的零信任方法的含義。一些企業認為零信任可以通過使用單獨的安全解決方案來實現，從而為問題提供快速解決方案。然而，零信任不僅僅是部署單獨的解決方案。”

Malone總結說：“不要被這個時髦的名稱所迷惑。零信任不僅僅是另一個流行術語，也不是單一產品。這是一項重要的安全舉措?！?/p>

人員、流程和技術的重要性怎么強調都不為過。它們是最低特權訪問原則和縱深防御戰略實施的核心。雖然根本不存在普遍的、教科書式的零信任實施，但卻存在零信任的原則。