盡管企業每年都在增加對網絡安全技術、基礎設施和服務的支出，但威脅參與者仍在想方設法躲過這些防御。這主要有兩個原因：第一，人為錯誤：不幸的是，許多用戶仍然沒有認真對待安全問題。他們訪問不應該訪問的網站，點擊不應該點擊的東西，在不應該輸入憑據的地方輸入憑據。結果，他們的系統、身份和憑據被攻破，攻擊者可以輕松地攻破系統。

第二，對應用程序的攻擊：攻擊者正在攻擊面向互聯網的應用程序，并利用他們代碼中的錯誤和漏洞。這是因為許多第三方應用程序享有隱式信任，企業通常不會檢查它們的流量。最近的MoVEit黑客攻擊就是一個很好的例子，攻擊者利用了一個漏洞，破壞了1000多個企業的環境，竊取了6000多萬人的記錄。

城堡和護城河的安全方法已經過時了

隨著越來越多的員工在公司外圍工作，并在云中訪問數據和SaaS應用，傳統的城堡和護城河模式對網絡安全不再適用。此外，每個暴露于漏洞的企業都有防火墻，因此防火墻并不總是有效的。威脅參與者現在正在加密所有不好的東西，這些加密的流量正在使用合法通道(如端口443)直接通過防火墻。解密流量并不總是可行的。傳統防火墻通常缺乏能力或性能來檢查傳入的巨大云計算流量。出于這些原因，許多專家認為零信任是答案。

零信任實施建議和最佳做法

在現實世界中，如果攻擊者出現在您的大樓并出示公司頒發的有效ID，他們將獲得對大樓的全面訪問權限。他們可以去任何部門，查看任何房間，進入大樓的所有不同區域，然后離開。

零信任基于任何用戶、應用程序或設備都不應被隱式信任的原則。這意味著，如果攻擊者出現在您的建筑中，他們的身份將在他們訪問的每個房間和部門進行驗證，而不僅僅是在前門。美國政府現在要求所有政府機構和承包商必須采用零信任技術和框架。

研究表明，雖然90%的企業正在采用零信任，但大多數企業在釋放其全部潛力方面存在問題。這是因為零信任令人困惑，安全供應商一直在推銷它，就像可以買到現成的技術一樣。實際上，零信任更像是一種架構(一種框架)，沒有什么靈丹妙藥。零信任就是最小化或控制爆炸半徑。以下是實施零信任時應牢記的建議：

1、使用現代方法重新開始實施零信任

當百視達試圖智勝Netflix時，他們將一堆DVD播放器連接到了云上。這顯然沒有產生正確的保真度，百視達破產了。從根本上說，他們做出了錯誤的架構選擇。同樣，在零信任的情況下，重要的是考慮技術債務并從頭開始構建您的安全。如果企業只是簡單地將安全層放在上面，他們將造成更大的危害，引入更多漏洞，并為管理安全創造更多復雜性。

2、使用安全云減少攻擊面

永遠記住這一點：如果你可以到達，你就是可以突破的。因此，如果應用程序暴露在互聯網上，攻擊者很可能會破壞它。因此，應用程序和服務器必須始終放置在安全云之后，以避免此攻擊媒介?，F在，當攻擊者敲你的門時，那是一個總機，而不是門?？倷C說：“好吧，你想去哪里?我會為你架起連接的橋梁。我不會將您直接連接到該應用程序。這是零信任體系結構的一個重要元素。

3、使用分段以防止側向移動

雖然網絡分割并不新鮮，但零信任鼓勵微分割。這意味著企業應在粒度級別對網絡、工作負載和應用進行細分或分叉。如果攻擊者入侵您的環境，微分段有助于限制橫向移動，遏制威脅，并限制惡意軟件在整個環境中傳播。

4、部署細粒度用戶訪問

人為錯誤是不可避免的。這就是大多數云入侵和勒索軟件攻擊發生的原因。如果攻擊者獲得對特權用戶帳戶的訪問權限，他們可以利用該帳戶竊取敏感信息、使系統脫機、劫持系統或在網絡中橫向移動并危害其他系統。在一個零信任的世界里，用戶可以訪問他們應該訪問的東西，但除此之外什么都沒有。

被檢查的不僅僅是一個身份。您必須查看一些上下文參數(訪問時間、發出請求的位置、設備類型等)。要做到這一點，企業必須實施最小特權原則，應用精細權限，并部署既考慮身份又考慮環境的身份驗證機制。

5、始終牢記用戶體驗

扼殺零信任項目的最快方式是擾亂用戶。如果您正確部署架構，用戶體驗實際上可以得到提升，這有助于減少內部摩擦。例如，如果身份驗證是無縫的，訪問和連接將更容易;用戶將欣然接受零信任。

違規是不可避免的——僅鎖門窗是不夠的。企業需要的是一種安全級別，即護送被蒙住眼睛的用戶到大樓所在的位置，然后護送他們到他們需要去的房間，然后護送他們離開，同時確保沒有任何東西被帶走或遺落。然而，如果企業遵循最佳實踐并專注于正確的架構和用戶體驗，他們肯定會建立更具彈性的網絡安全態勢，這是當務之急。