隨著網(wǎng)絡(luò)邊界的消失，零信任技術(shù)成為行業(yè)普遍關(guān)注的焦點(diǎn)。但是，在零信任理念下，企業(yè)需要面對海量的權(quán)限梳理和資產(chǎn)識(shí)別工作，涉及企業(yè)各個(gè)業(yè)務(wù)系統(tǒng)、認(rèn)證系統(tǒng)、終端設(shè)備以及訪問協(xié)議的對接，因此其建設(shè)的難度可想而知，很多零信任項(xiàng)目的開展最終都要面對建設(shè)周期長、運(yùn)維壓力大、投入產(chǎn)出低的挑戰(zhàn)。

　　如果要想要取得零信任項(xiàng)目的成功，不僅需要企業(yè)用戶投入足夠的人員、時(shí)間、資源和預(yù)算去保障，同時(shí)還需要確保所選擇的零信任安全廠商真正具備應(yīng)對建設(shè)挑戰(zhàn)的能力。因此，在零信任項(xiàng)目實(shí)施前，企業(yè)用戶需要向零信任安全廠商問清以下8個(gè)問題，并做出準(zhǔn)確的判斷：

　　1、零信任安全廠商是否能夠幫助用戶充分利用現(xiàn)有的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施？

　　在采用零信任理念之前，很多企業(yè)多年來在安全和網(wǎng)絡(luò)軟硬件設(shè)備上已經(jīng)投入了大量的資金。安全廠商要有能力在盡可能利用現(xiàn)有技術(shù)和設(shè)備的同時(shí)，向零信任解決方案轉(zhuǎn)型。

　　大多數(shù)企業(yè)其實(shí)已經(jīng)實(shí)施了與零信任有關(guān)的部分要素，如身份管理、訪問控制、雙因子身份驗(yàn)證、網(wǎng)絡(luò)分段等管理策略。這些企業(yè)需要的是一種全面、集成、可擴(kuò)展的策略驅(qū)動(dòng)方式來實(shí)現(xiàn)對零信任解決方案的全面落地，他們需要尋找能夠在極少改動(dòng)企業(yè)內(nèi)部現(xiàn)有基礎(chǔ)設(shè)施情況下，助力其進(jìn)行零信任轉(zhuǎn)型的安全廠商。

　　2、零信任安全廠商是否真正了解用戶的零信任建設(shè)需求與目標(biāo)？

　　一個(gè)優(yōu)秀的零信任解決方案供應(yīng)商在為企業(yè)制定方案計(jì)劃時(shí)，不會(huì)只是浮于表面的在管理層面前高談闊論，而是會(huì)根據(jù)企業(yè)組織目前所面臨的實(shí)際業(yè)務(wù)挑戰(zhàn)建立明確的解決方案，并在一定程度上保證這些方案的實(shí)施效果，力求達(dá)到企業(yè)組織所需的業(yè)務(wù)目標(biāo)。

　　企業(yè)組織的具體目標(biāo)可能包括為在家工作的員工提供安全的遠(yuǎn)程訪問，保護(hù)本地和云端的敏感數(shù)據(jù)，或?yàn)檐浖_發(fā)人員加強(qiáng)API安全性等。因此安全廠商要能夠根據(jù)企業(yè)組織的具體業(yè)務(wù)需求來定制可執(zhí)行的、有效果的解決方案。

　　3、零信任安全廠商是否有能力將用戶企業(yè)中的身份管理融入到未來的整體安全控制措施中？

　　身份安全是新一代安全架構(gòu)體系建設(shè)的基礎(chǔ)，零信任安全廠商要與企業(yè)組織的需求保持一致，并且有足夠的技術(shù)能力幫助企業(yè)在網(wǎng)絡(luò)系統(tǒng)中采用全面的身份管理策略來進(jìn)行安全管控，這并不是一件容易的事。

　　目前，企業(yè)組織當(dāng)中的身份管理缺口很多，例如，很多企業(yè)會(huì)忽略在員工訪問Web應(yīng)用等場景下也需要采用精細(xì)化身份管理。有很多單點(diǎn)解決方案（如Web應(yīng)用防火墻）可以填補(bǔ)這些缺口，但是這些單點(diǎn)解決方案如果不能得到很好的整合，將無法形成支持所有身份使用場景的整體解決方案。

　　而一家較為成熟的安全廠商，則可以通過安全編排、自動(dòng)化和響應(yīng)（SOAR）或擴(kuò)展檢測和響應(yīng) （XDR）等工具幫助企業(yè)組織實(shí)現(xiàn)最大程度的統(tǒng)一身份管理。

　　4、零信任安全廠商是否能夠幫助企業(yè)組織合理規(guī)劃零信任建設(shè)的優(yōu)先級，并快速取得階段性應(yīng)用效果？

　　安全廠商在為企業(yè)組織建設(shè)零信任解決方案時(shí)，應(yīng)將用戶體驗(yàn)放在首位，盡可能保證零信任方案在企業(yè)內(nèi)部實(shí)施流程的順暢性，否則員工會(huì)認(rèn)為該方案阻礙了正常工作，會(huì)設(shè)法繞過方案中包含的安全管控環(huán)節(jié)。

　　針對這一問題，安全廠商可以在企業(yè)組織中部署基于數(shù)字證書的身份驗(yàn)證，并逐步淘汰那些煩人的用戶名和密碼認(rèn)證。如果企業(yè)中的員工是通過云或其他面向互聯(lián)網(wǎng)的應(yīng)用軟件來訪問辦公應(yīng)用程序的，安全廠商可以幫助企業(yè)建立以一種無需密碼、雙因子身份驗(yàn)證支持的方式進(jìn)行訪問，這樣企業(yè)員工對零信任方案的接受程度就會(huì)提升。

　　如此，企業(yè)高層在發(fā)現(xiàn)員工對零信任解決方案初步實(shí)施的認(rèn)可之后，也更愿意為其他更為復(fù)雜的零信任項(xiàng)目提供資金支持。

　　5、信任安全廠商是否能夠幫助企業(yè)用戶實(shí)現(xiàn)全局化的數(shù)據(jù)安全防護(hù)？

　　構(gòu)建零信任解決方案的核心目的，就是為了保障企業(yè)數(shù)據(jù)資產(chǎn)的安全，不被非法的訪問和竊取。如果不能實(shí)現(xiàn)全局化的數(shù)據(jù)安全防護(hù)，零信任安全建設(shè)將變得沒有意義。針對這一問題，零信任安全廠商應(yīng)該以數(shù)據(jù)資產(chǎn)的發(fā)現(xiàn)為起點(diǎn)，首先要幫助企業(yè)進(jìn)行數(shù)據(jù)資產(chǎn)清點(diǎn)，了解企業(yè)中有哪些數(shù)據(jù)、這些數(shù)據(jù)儲(chǔ)存在何處、如何跟蹤這些數(shù)據(jù)；然后，要確定有哪些數(shù)據(jù)數(shù)據(jù)敏感數(shù)據(jù)，并制定數(shù)據(jù)分級分類管理，同時(shí)對這些數(shù)據(jù)資產(chǎn)進(jìn)行跟蹤防護(hù)和自動(dòng)化管理。

　　6、零信任安全廠商是否能夠幫助用戶建立精細(xì)化的安全訪問控制策略？

　　零信任理念的宗旨是，企業(yè)中的任何人在得到充分驗(yàn)證之前均視為不信任。但是很多安全廠商在為企業(yè)組織設(shè)置和執(zhí)行精細(xì)化安全訪問管控方面做的并不到位。零信任安全廠商在幫助企業(yè)組織實(shí)施零信任解決方案時(shí)，需要了解企業(yè)自身的最終用戶有哪些。哪些用戶可以登錄？這些用戶在登錄后分別有哪些操作權(quán)限？例如，企業(yè)中某負(fù)責(zé)應(yīng)收賬款管理的員工按規(guī)定每月只能在賬單支付時(shí)訪問一次某些文件夾。

　　7、零信任安全廠商是否能夠通過微隔離等技術(shù)，幫助用戶縮小企業(yè)網(wǎng)絡(luò)的攻擊面？

　　網(wǎng)絡(luò)隔離技術(shù)已存在很長一段時(shí)間，但零信任將這個(gè)概念推到了一種更加精細(xì)化的程度，即微隔離。在零信任網(wǎng)絡(luò)中，安全廠商需要具備幫助企業(yè)組織圍繞單個(gè)終端或單個(gè)主機(jī)系統(tǒng)創(chuàng)建分段的能力，這可以讓企業(yè)內(nèi)部員工的訪問行為受到絕對管控。

　　比如，過去人力資源部門整體可能都處于同一網(wǎng)段上，但安全廠商在企業(yè)內(nèi)部實(shí)施了微隔離之后，人力資源主管和部門其他員工可能分別有屬于自己的網(wǎng)段，定義明確的防火墻規(guī)則可以規(guī)定他們可以做什么、不可以做什么。如果企業(yè)組織想要采用微隔離方法，這就要求安全廠商需要具備非常強(qiáng)大的網(wǎng)絡(luò)配置和控制能力。

　　8、零信任安全廠商是否具備快速可靠的系統(tǒng)事件應(yīng)急響應(yīng)能力？

　　沒有百分百的安全，對于網(wǎng)絡(luò)安全系統(tǒng)來說同樣會(huì)有發(fā)生故障的時(shí)候，一旦用戶企業(yè)的身份安全管理系統(tǒng)或者其他零信任安全設(shè)施出現(xiàn)了故障，安全廠商不僅要考慮單點(diǎn)故障本身的修復(fù)，同時(shí)還要考慮可能出現(xiàn)的更為廣泛的、連鎖性的安全風(fēng)險(xiǎn)，因?yàn)閷?dǎo)致這些單點(diǎn)故障的安全事件可能包括了針對性的黑客攻擊、員工惡意行為等潛藏的危險(xiǎn)。事件發(fā)生時(shí)，安全廠商要有能力幫助企業(yè)全面分析故障原因，是否存在被暴露的企業(yè)組織的賬號信息？是否會(huì)導(dǎo)致非法的第三方訪問？是否存在外部攻擊者通過橫向移動(dòng)來繞過零信任的防御策略？

　　針對突發(fā)性的安全事件，安全廠商應(yīng)該在為企業(yè)部署零信任解決方案時(shí)就盡可能全面的考慮到，并建立完善的補(bǔ)救策略。安全廠商應(yīng)該幫助企業(yè)組織定期進(jìn)行安全事件處置演練，從而在安全事件發(fā)生后，能夠確保企業(yè)組織在第一時(shí)間知道應(yīng)該如何進(jìn)行最有效的處理，最大程度的降低企業(yè)損失。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<