零信任已成為整個安全行業中訪問管理的風向標。雖然安全主管們大體上已經接受了這種方法——其基于這樣一種理念，即企業網絡內外都不應信任任何人員或計算實體——但并不是每個企業都完成了這一轉變。

根據研究機構Gartner 2024年的一項調查，全球63%的企業在某種程度上實施了零信任策略，然而，其中58%的企業才剛剛開始踏上這條道路，零信任覆蓋的環境不足50%。

“大多數企業都已制定了相關策略，”Gartner副總裁分析師兼關鍵倡議負責人John Watts表示，但Watts指出，許多安全負責人仍在測試相關技術，并構建必要的架構，以克服障礙。

為了幫助你更好地理解這項工作的組成部分、復雜性和挑戰，安全主管們分享了他們在實現零信任過程中的經驗。

讓業務接受變革

對于Mary Carmichael而言，零信任的旅程既是改變文化的過程，也是改進企業安全基礎設施的過程。

Carmichael兩年前被一家加拿大監管機構聘為顧問，她很快就發現了改進該機構安全態勢的必要性，其中包括許多處理敏感數據的遠程工作人員，而這些數據大多由該機構監管的實體提供。

Carmichael表示，該機構像許多企業一樣，其安全基礎設施在很大程度上信任實體(人員、設備和應用程序)，一旦它們進入技術環境。

“以前的情況是：一旦登錄到網絡，就會被信任，但零信任要求全程驗證，這是一個巨大的改變，”Carmichael說，她是Momentum Technology戰略、風險和合規咨詢部的總監，也是專業治理協會ISACA新興趨勢工作組的成員。

Carmichael表示，該機構具備基本的身份和訪問管理(IAM)能力，但沒有采用多因素認證(MFA)和特權訪問管理(PAM)——這兩項技術是零信任架構的關鍵。該機構也沒有工具來跟蹤實體在環境中的移動，因此無法挑戰實體嘗試使用的每個系統的訪問權限。

Carmichael解釋說，雖然該機構曾一度創建了身份，并將它們與適當的訪問級別相匹配，但出現了“訪問蔓延”，因為沒有進行治理，而且人員離職后，從身份管理系統中刪除他們的信息也會延遲。

但要開始解決該機構的安全態勢問題，Carmichael首先必須為利益相關者提供一個零信任的共同定義，以及一個進行必要工作的有力理由。只有這樣，她才能向該機構傳授實現零信任所需的技術手段，如網絡分段、PAM和MFA，以及實現零信任所需的過程變革。

咨詢公司Protiviti負責網絡戰略實踐的董事總經理Nick Puetz表示，Carmichael的經歷反映了大多數企業的情況，這些企業在正式采用零信任方法之前，往往已經有了零信任的各種組成部分，但它們并沒有協同工作。使用零信任框架可以有所幫助。

“這是一種將所有部分整合在一起的方法。”他說。

在推動該機構沿著零信任的道路前進時，Carmichael面臨的最大障礙是讓業務接受變革。

Carmichael說，在零信任框架下，業務領導和人力資源部門需要在創建和管理身份以及為每個身份建立適當的訪問級別方面做大量工作，他們必須承擔起做好這項工作并持續管理它的責任。

她強調說，這是一項企業變革，因此，企業變革管理和高級別贊助對于成功轉向零信任至關重要。

Carmichael補充道，關注“風險價值”——即如果黑客訪問了敏感數據會發生什么，以營造推動變革的緊迫感，這有助于在業務利益相關者中獲得對零信任的支持。教育和培訓也是如此。

“轉向零信任涉及許多不同的群體、過程變革和人員，我認為人們沒有意識到零信任所需變革的程度。”她說。

在可用性和安全性之間取得平衡

當Niel Harper擔任聯合國項目事務廳(United Nations Office for Project Services)首席信息安全官時，他面臨著一項艱巨的任務：確保該企業8000名用戶的安全，這些用戶遍布全球各地，其中許多人遠離哥本哈根、日內瓦和紐約市的辦事處，在野外工作。

為此，Harper在2019年至2022年任職期間，啟動了該企業的零信任之旅。

與Carmichael一樣，Harper首先檢查了企業的網絡、設備、應用程序、工作負載、數據和身份，以了解可以在哪里以及應該在哪里放置細粒度控制，他還必須根據業務目標和關鍵資產來確定從隱式信任轉向零信任所需的技術組件和過程變革。

“讓我們定義我們的核心資產;這些通常占你數據或資產的2%到10%，找出它們并進行分類——關鍵、高價值、機密、嚴格機密。這會讓你更清楚地了解你想要保護什么，”他說，“然后，看看與你定義的目標最契合的技術投資，以獲得你想要保護的資產的優先集。”

Harper還提前花時間確定了快速見效的領域和零信任可能不可行的領域——比如遺留技術。

在實施戰略時，Harper采取了循序漸進的方法。

“我認為零信任不太適合大爆炸式的部署，它太具有破壞性了，”他說，并補充說他在旅程早期就召集了用戶小組。

“零信任架構會增加額外的摩擦，因為它會不斷驗證人員的訪問權限、身份、權限，這種摩擦可能會讓用戶感到沮喪，”他說，“所以我們有焦點小組和跨職能團隊，包括來自業務的代表和用戶，這樣我們就可以解釋我們的目標，用戶就可以分享他們的痛點和擔憂，因此，在我們實施控制措施時，仍然可以獲得良好的用戶體驗。你不希望降低用戶的體驗質量。你必須始終在可用性和安全性之間取得平衡。”

為了向前推進，Harper的團隊首先在辦公室實施了控制措施，從那些快速見效的領域開始，這包括實施MFA和強制執行條件訪問的技術。

然后，Harper制定了一份路線圖，以解決在他離職后可以繼續實施的更復雜問題。

Harper現在是軟件公司Doodle的CISO和全球數據保護官，同時也是ISACA董事會副主席，他表示，在推動新公司的零信任模型時，他正在采取類似的方法。

“人員、流程和系統的融合”

2021年的一次黑客攻擊讓OHLA USA及其CIO Srivatsan Raghavan踏上了零信任的旅程。Raghavan解釋說，這一事件表明，過去實施的各項安全措施“綜合起來仍然不足”。

“我們有好幾年都沒有發生過任何事件，所以我們覺得自己做得對。我不愿稱之為過度自信，但這確實是一種得到驗證的感覺。”Raghavan說。

這次攻擊顛覆了這種驗證，并為該公司提供了一個“做得更好的跳板，因為零信任認為，工具是不夠的，它是人員、流程和系統的融合”。

Raghavan負責安全工作，他和他的團隊從自我檢查開始：“我們必須思考我們每天的運作方式。你把所有這些都擺在桌面上，然后反思。”

他說，這使他意識到，隨著企業構建零信任安全環境，需要增加更多控制，并打破壁壘。

“我們必須摧毀企業內部的所有這些壁壘，才能讓IT團隊變得更好，并更好地了解整個業務。”他說。

為了幫助實現這一點，Raghavan結合美國國家標準與技術研究院(NIST)和微軟(Microsoft)的框架，創建了一個框架，他的自定義框架使他的團隊能夠按類別劃分并處理項目，以推進公司的零信任之旅，該框架還幫助他們評估公司在特定領域識別、保護、檢測、響應和從潛在入侵和事件中恢復的能力。

Protiviti董事總經理Puetz說，許多企業出于類似的原因發現零信任很有價值。“零信任能夠使CISO將戰略分解成小塊，并解釋網絡安全計劃目前處于什么位置，以及需要去向何方。”他補充說。

Raghavan在使他的零信任計劃成熟方面取得了顯著進展。

例如，他淘汰了廣域網(WAN)，并用基于云的控制措施取而代之，包括始終在線的虛擬專用網絡(VPN)、移動設備管理(MDM)解決方案、MFA和條件訪問功能。

他還取消了服務器管理員和網絡工程師等職位，他說“我們不再需要這些崗位”，并轉變為高級技術人員和初級技術人員，以打破壁壘。

“我們不想在職責上劃清界限。我們想反映工作的相互依存關系。”Raghavan說，他在這一過程中成為了注冊信息安全管理人員(CISM)。

Raghavan表示，零信任理念使他的公司——一家倡導“始終思考安全”的大型建筑公司——走上了一條更安全的道路，因為該公司正在采用更多的自動化和AI技術。

“零信任將使管理安全和實現更細粒度的控制變得更容易，零信任就是要盡可能細粒度地管理IT。”他補充道。“那就是我們的戰略方向，審視每一個業務流程，尋找缺陷和漏洞，然后找到通過應用零信任原則來加強我們業務運營的方式。”