編者按：本文來自 Gartner 副總裁分析師 John Watts。

 在降低 環境風險方面，大多數組織將零信任視為首要任務。然而，對于許多組織而言，整個組織的大規模零信任尚未成為現實。

零信任是一種安全范例，它明確識別用戶和設備，并允許他們以最小的摩擦進行訪問，同時仍然降低風險。零信任要求組織考慮最小特權訪問、資源敏感性和數據機密性。 

這些概念并不新鮮。過去，許多團隊都曾嘗試實施最低特權訪問控制，但在擴大控制范圍和增加控制粒度時遇到了挑戰。

零信任也不能避免這些問題。組織必須提前計劃并投資于人員和資源以在零信任的情況下取得成功，而不是將其視為一次性的、一刀切的答案來保護他們的組織。

要啟動零信任實施，組織可以在著手更廣泛的零信任技術實施之前先定義戰略和基線。

為組織量身定制零信任策略并將其與最適合緩解的攻擊類型（例如惡意軟件的橫向移動）相結合非常重要。

零信任不會通過一種技術來實現，而是通過多種不同組件的集成來實現。 

大多數組織將實施零信任作為安全的起點

Gartner 預測，到 2025 年，超過 60% 的組織將把零信任作為安全的起點。然而，超過一半的組織將無法實現這些好處——啟動零信任需要的不僅僅是技術。

由于圍繞零信任的營銷壓力和炒作， 安全領導者 不知所措，努力將技術現實轉化為商業利益。 

有一種普遍的誤解認為“零信任”是指沒有人被信任，但事實并非如此。相反，零信任指的是只信任所需的“正確”數量。安全領導者必須了解零信任將保護他們和他們的組織免受任何可能發生的疏忽。  

當談到在組織內成功啟動零信任時，網絡安全領導者絕不能試圖僅通過技術控制來執行零信任計劃。零信任不是技術優先的努力，而是思維方式和安全方法的轉變。 

一旦理解了這一點，網絡安全領導者就需要得到高管的支持和支持。這種支持將展示零信任如何支持新的業務方法和更具彈性的環境，從而實現更大的靈活性。

未能獲得這種支持將使零信任計劃面臨風險。 

網絡安全領導者必須接受可能出現的復雜性和臨時冗余。安全團隊將在一種新的、精細的方法下運作，但仍然需要舊的控制。新舊控件之間可能存在相互沖突的目標。這些必須協調一致并不斷審查以避免沖突。

隨著組織從零信任的炒作變成現實，安全領導者必須將他們的注意力從技術和營銷信息轉移到零信任的文化和安全計劃。安全領導者可以通過設定符合可管理性和安全目標的現實目標來為成功做好準備。

根據所需的業務成果（例如降低風險、更好的最終用戶體驗或提高靈活性）定位零信任計劃，以對零信任計劃的范圍和影響設定切合實際的期望。

更多組織正在實施零信任計劃，但需要可衡量性

目前，大多數組織都處于零信任之旅的早期階段。雖然組織對零信任的承諾感到興奮，但很少有人關注其實施后的現實。 

在零信任之旅中走得更遠的組織在實施和維護最低特權訪問方面遇到了障礙。為幫助避免這些障礙，投資資源以隔離并遵守最低特權訪問策略以實施控制。投資這些資源將在實施后保持零信任態勢。 

Gartner 預測，到 2026 年，10% 的大型企業將擁有成熟且可衡量的零信任計劃，而目前這一比例還不到 1%。

零信任戰略必須由關于組織愿意在網絡安全方面進行多少投資以及從投資中獲得多少收益的業務決策驅動。隨著組織改進將網絡安全解釋為一項商業投資，零信任努力變得不那么戰術化。 

今天沒有衡量零信任成熟度的通用標準，但是現有的成熟度模型是一個有用的起點。

例如，美國聯邦政府網絡安全和基礎設施安全局 (CISA) 發布了零信任成熟度模型 設計，以協助美國聯邦機構制定零信任戰略和實施計劃。

使用此策略將跟蹤組織內部零信任目標的進展情況。優先考慮此行動計劃，而不是采用來自成熟度模型的相對基準評估，因為由于范圍和預期結果的差異，這些基準可能無法在組織之間進行比較。 

在零信任的情況下從理論轉向實踐是一項挑戰。在沒有制定策略的情況下很容易陷入部署點零信任解決方案的陷阱。穩健的戰略勢在必行，也是超越營銷噪音以確保成功實施零信任的唯一途徑。