在各種各樣的現(xiàn)有技術(shù)和監(jiān)管過(guò)程支撐之下，零信任方法才得以完成保護(hù)企業(yè)IT環(huán)境的使命。
    它需要企業(yè)根據(jù)用戶、用戶所處位置和其他數(shù)據(jù)等條件，利用微分隔和細(xì)粒度邊界規(guī)則，來(lái)確定是否信任請(qǐng)求企業(yè)特定范圍訪問(wèn)權(quán)的用戶/主機(jī)/應(yīng)用。

    首先，要弄清楚用戶身份，確保用戶真的是他/她所聲稱的那個(gè)人;然后，要保證用戶所用終端是安全終端，或者該終端處在安全狀態(tài);最后，還要有個(gè)條件策略，指定哪些人能訪問(wèn)哪些東西。

    零信任依靠多因子身份認(rèn)證、身份與訪問(wèn)管理(IAM)、編排、分析、加密、安全評(píng)級(jí)和文件系統(tǒng)權(quán)限等技術(shù)來(lái)做上述工作。最小權(quán)限原則也是零信任倚賴的監(jiān)管策略之一，也就是只賦予用戶完成特定工作所需的最小訪問(wèn)權(quán)限。

    基本上，零信任就是公司企業(yè)收回安全戰(zhàn)場(chǎng)控制權(quán)，在各部門應(yīng)用網(wǎng)絡(luò)分隔和下一代防火墻，控制網(wǎng)絡(luò)接入的身份、對(duì)象、地點(diǎn)和時(shí)間，是從內(nèi)而外地施行控制，而不是由外而內(nèi)。
    現(xiàn)今的大部分IT場(chǎng)景中，零信任不僅僅是技術(shù)，還有關(guān)思維和過(guò)程。

如何實(shí)現(xiàn)零信任

    部分企業(yè)的IT部門已經(jīng)實(shí)現(xiàn)了零信任的很多方面。他們通常已經(jīng)部署了多因子身份驗(yàn)證、IAM和權(quán)限管理。其環(huán)境中也越來(lái)越多地實(shí)現(xiàn)了微分隔。
     然而，建立零信任環(huán)境不僅僅是實(shí)現(xiàn)這些單個(gè)技術(shù)，而是應(yīng)用這些技術(shù)來(lái)施行“無(wú)法證明可被信任即無(wú)法獲得權(quán)限”的理念。

    企業(yè)得從戰(zhàn)略上確定哪些技術(shù)有助實(shí)現(xiàn)這一理念，然后再去買入這些技術(shù)。
在技術(shù)的應(yīng)用上最忌諱病急亂投醫(yī)，與其期待亂買來(lái)的藥能治好病，不如先好好診斷診斷，弄清楚自身情況再采用相應(yīng)的技術(shù)(藥)。

    轉(zhuǎn)向零信任模型不是一朝一夕之功，也不是件容易的事兒，尤其是在有不適應(yīng)該新模型的遺留系統(tǒng)的時(shí)候。

    很多公司都在向云端遷移，這是個(gè)全新的環(huán)境，很適合應(yīng)用零信任模型，可以從云端開始零信任旅程。公司企業(yè)，尤其是有著復(fù)雜IT環(huán)境和大量遺留系統(tǒng)的大型企業(yè)，應(yīng)將零信任遷移看做是多階段跨年度的一項(xiàng)工程。

    零信任遷移中的另一項(xiàng)挑戰(zhàn)，是讓員工具備該新理念的思維方式。比較不幸的是，大多數(shù)企業(yè)IT專家接受的教育或培訓(xùn)讓他們默認(rèn)企業(yè)環(huán)境是可信的，他們被教導(dǎo)得想當(dāng)然地認(rèn)為防火墻能將壞人擋在外面。人們需要調(diào)整自己的思維模式，要清楚當(dāng)前態(tài)勢(shì)下壞人可能早就在自家環(huán)境中了。

     公司企業(yè)還需認(rèn)識(shí)到，零信任與其他成功的IT或安全原則一樣，需要長(zhǎng)期堅(jiān)守，不斷維護(hù)，而且零信任工作中的某些部分會(huì)更具挑戰(zhàn)性。

    比如說(shuō)，微分隔工作中，安全/IT團(tuán)隊(duì)就必須確保配置修改是恰當(dāng)?shù)模⒏虏煌８淖兊腎P數(shù)據(jù)以保證員工工作或企業(yè)交易所需訪問(wèn)不被中斷。否則，企業(yè)可能會(huì)面臨工作阻塞問(wèn)題。

    很多公司都會(huì)想，遭遇惡意軟件導(dǎo)致業(yè)務(wù)中斷，和配置錯(cuò)誤導(dǎo)致停工一天，本質(zhì)上都不是什么好事。微分隔方法所需的持續(xù)維護(hù)可能會(huì)帶來(lái)很多臨時(shí)應(yīng)急的措施，或許會(huì)讓網(wǎng)絡(luò)更加脆弱。

    在遺留系統(tǒng)和現(xiàn)有環(huán)境中整體應(yīng)用零信任模型所導(dǎo)致的復(fù)雜性，表明公司企業(yè)真的沒(méi)有做好完全實(shí)現(xiàn)該模型的準(zhǔn)備。

     因此，公司企業(yè)最好是從設(shè)計(jì)上就打造零信任，而不是在原有基礎(chǔ)上修修補(bǔ)補(bǔ)。換句話說(shuō)，應(yīng)將零信任模型作為公司整體數(shù)字轉(zhuǎn)型戰(zhàn)略的一部分，實(shí)現(xiàn)那些有助于在云遷移過(guò)程中達(dá)成零信任的技術(shù)，淘汰掉那些老舊的遺留系統(tǒng)。

    而且，CISO、CIO和其他高管應(yīng)參與進(jìn)轉(zhuǎn)向零信任的過(guò)程中，這樣他們才能安排過(guò)程中各項(xiàng)事務(wù)的優(yōu)先級(jí)，確定哪些動(dòng)作應(yīng)盡快完成，而哪些部分可以先等等。

    零信任遷移基本等同基礎(chǔ)設(shè)施轉(zhuǎn)型。信息安全并沒(méi)有跟上數(shù)字轉(zhuǎn)型/現(xiàn)代化環(huán)境的腳步。但企業(yè)必須轉(zhuǎn)換安全管理的方式。想要整體安全，想要有安全準(zhǔn)備度，就需要換一種思維方式。