一直以來，政府及相關企業組織在開展零信任建設方面存在很多疑問和顧慮，這阻礙了零信任技術的應用落地。為此，美國國家安全電信咨詢委員會(NSTAC)在2021年底向美國政府提交了《零信任和可信身份管理報告》(以下簡稱《報告》)。這份報告詳細回顧了零信任發展史，并通過總結諸多零信任項目、指引和要求，梳理了零信任實施中面臨的關鍵挑戰和要求，以及企業組織在開展零信任建設中需要特別關注的八個要點。

要點1：零信任需要長期的承諾

《報告》認為，確認零信任是一項變革性的工作，政府和其他組織需要承諾至少十年的投入。這包括改變行業和組織政策，以推動零信任文化，并開始從根本上重新設計組織的技術系統架構。《報告》提醒用戶提防那些宣稱可以讓組織一夜之間就能實現“零信任”的廠商。

要點2：使用可靠的零信任指導

如果想了解零信任，不妨參閱已頒布的指南和出版物。這包括《NIST 800-207：零信任架構》、美國國防部《零信任參考架構》、美國國家安全局(NSA)的《擁抱零信任安全模型》、美國網絡和安全基礎設施局(CISA) 的《零信任成熟度模型》以及美國行政管理和預算局(OMB)的《聯邦零信任戰略》等。

要點3：制定科學的實施計劃

與其他任何長期的戰略項目一樣，零信任項目建設前也需要制定科學的實施計劃。NSTAC指南列出了零信任實施的五個步驟：界定保護范圍、映射事務流、構建零信任架構、制定零信任策略以及監控和維護網絡。這既強調了實施零信任是耗費時間的迭代過程，也暗示了零信任能夠輕松獲得的錯誤觀點。

要點4：零信任戰略與合規要求相一致

推動零信任是一個繁瑣的過程，需要投入資金、時間和人力，孤立地實施零信任只會增添工作量。《報告》強調需要明確零信任戰略和現有的合規要求，并確保兩者相一致。如果兩者不一致，組織注定會失敗。隨著組織開始竭力重新設計系統和網絡架構以適應零信任，可能需要再次做好合規和授權工作。如果在這種情況下不實施自動化，組織將被同時開展的兩項工作搞得疲憊不堪。

要點5：設立零信任項目辦公室

《報告》的另一項重要建議是需要設立零信任項目辦公室，并在關鍵領域盡量使用共享服務。美國國防部最近宣布設立零信任項目辦公室。NSTAC呼吁聯邦政府仿而效之，以專門成立一個部門來統管實施指南、架構和戰略手冊等。這樣一來，各政府部門可以借助該辦公室加快實施各自在零信任方面的獨立工作。商業組織(企業界)，尤其是不同業務部門常常各行其是的大企業，可以像政府部門那樣設立零信任項目辦公室。

要點6：使用云服務以加快采用零信任

推動零信任也離不開云服務，NSTAC表示“更快地采用云服務將大大加快聯邦機構采用零信任”，其優勢涉及數據、身份和自動化等方面。云采用還可以幫助機構和組織應對遠程員工隊伍壯大的情形。

要點7：有效的身份管理是零信任成功的關鍵

《報告》還強調了有效的身份管理對于零信任的重要性，這包括個人身份和非個人實體身份的管理。《報告》強調了需要這樣的現代身份管理解決方案，即與組織所處的現代云原生和遠程員工隊伍環境相一致的身份管理方案，具體可參閱《NIST 800-63-3：數字身份指南》。

要點8：針對某些功能共享安全服務

除了需要設立集中式項目辦公室外，《報告》還建議為特定功能(比如可訪問互聯網的資產發現)共享安全服務。NSTAC《報告》指出，多種解決方案既導致管理復雜性，又使最終用戶在集成和磨合方面面臨挑戰，無疑會阻礙零信任的落地。IT/網絡安全共享服務可以為機構和組織帶來諸多好處，包括成本/許可效率、增強可見性和提高效率。

參考鏈接：https://www.csoonline.com/article/3652339/8-takeaways-for-cisos-from-the-nstac-zero-trust-report.html