安全领导者揭示了他们的零信任之旅

零信任已成为整个安全行业中访问管理的安全风向标。虽然安全主管们大体上已经接受了这种方法——其基于这样一种理念，领导即企业网络内外都不应信任任何人员或计算实体——但并不是揭之旅每个企业都完成了这一转变。

根据研究机构Gartner 2024年的示们一项调查 ，全球63%的信任企业在某种程度上实施了零信任策略
，然而
，安全其中58%的领导企业才刚刚开始踏上这条道路，零信任覆盖的揭之旅环境不足50%。

“大多数企业都已制定了相关策略 ，示们”Gartner副总裁分析师兼关键倡议负责人John Watts表示 ，信任但Watts指出，云计算安全许多安全负责人仍在测试相关技术 ，领导并构建必要的揭之旅架构，以克服障碍 。示们

为了帮助你更好地理解这项工作的信任组成部分、复杂性和挑战 ，安全主管们分享了他们在实现零信任过程中的经验。

让业务接受变革

对于Mary Carmichael而言，零信任的旅程既是改变文化的过程 ，也是改进企业安全基础设施的高防服务器过程 。

Carmichael两年前被一家加拿大监管机构聘为顾问，她很快就发现了改进该机构安全态势的必要性，其中包括许多处理敏感数据的远程工作人员 ，而这些数据大多由该机构监管的实体提供。

Carmichael表示
，该机构像许多企业一样，其安全基础设施在很大程度上信任实体(人员、设备和应用程序)，一旦它们进入技术环境 。

“以前的情况是 ：一旦登录到网络，香港云服务器就会被信任 ，但零信任要求全程验证 ，这是一个巨大的改变，”Carmichael说 ，她是Momentum Technology战略 、风险和合规咨询部的总监，也是专业治理协会ISACA新兴趋势工作组的成员。

Carmichael表示，该机构具备基本的身份和访问管理(IAM)能力，模板下载但没有采用多因素认证(MFA)和特权访问管理(PAM)——这两项技术是零信任架构的关键。该机构也没有工具来跟踪实体在环境中的移动 ，因此无法挑战实体尝试使用的每个系统的访问权限 。

Carmichael解释说，虽然该机构曾一度创建了身份，并将它们与适当的访问级别相匹配，但出现了“访问蔓延”，因为没有进行治理，而且人员离职后 ，从身份管理系统中删除他们的源码下载信息也会延迟
。

但要开始解决该机构的安全态势问题
，Carmichael首先必须为利益相关者提供一个零信任的共同定义，以及一个进行必要工作的有力理由  。只有这样，她才能向该机构传授实现零信任所需的技术手段，如网络分段、PAM和MFA ，以及实现零信任所需的过程变革。

咨询公司Protiviti负责网络战略实践的董事总经理Nick Puetz表示，免费模板Carmichael的经历反映了大多数企业的情况，这些企业在正式采用零信任方法之前 ，往往已经有了零信任的各种组成部分，但它们并没有协同工作。使用零信任框架可以有所帮助。

“这是一种将所有部分整合在一起的方法
。”他说。

在推动该机构沿着零信任的道路前进时，Carmichael面临的最大障碍是让业务接受变革。

Carmichael说，在零信任框架下，业务领导和人力资源部门需要在创建和管理身份以及为每个身份建立适当的访问级别方面做大量工作，他们必须承担起做好这项工作并持续管理它的责任。

她强调说 ，这是一项企业变革，因此
，企业变革管理和高级别赞助对于成功转向零信任至关重要。

Carmichael补充道，关注“风险价值”——即如果黑客访问了敏感数据会发生什么 
，以营造推动变革的紧迫感，这有助于在业务利益相关者中获得对零信任的支持  。教育和培训也是如此。

“转向零信任涉及许多不同的群体
、过程变革和人员，我认为人们没有意识到零信任所需变革的程度。”她说。

在可用性和安全性之间取得平衡

当Niel Harper担任联合国项目事务厅(United Nations Office for Project Services)首席信息安全官时，他面临着一项艰巨的任务：确保该企业8000名用户的安全，这些用户遍布全球各地 ，其中许多人远离哥本哈根 、日内瓦和纽约市的办事处，在野外工作。

为此，Harper在2019年至2022年任职期间  ，启动了该企业的零信任之旅。

与Carmichael一样 ，Harper首先检查了企业的网络 、设备、应用程序
、工作负载、数据和身份
，以了解可以在哪里以及应该在哪里放置细粒度控制，他还必须根据业务目标和关键资产来确定从隐式信任转向零信任所需的技术组件和过程变革。

“让我们定义我们的核心资产;这些通常占你数据或资产的2%到10% ，找出它们并进行分类——关键、高价值、机密 、严格机密
 。这会让你更清楚地了解你想要保护什么 ，”他说，“然后，看看与你定义的目标最契合的技术投资 ，以获得你想要保护的资产的优先集 。”

Harper还提前花时间确定了快速见效的领域和零信任可能不可行的领域——比如遗留技术  。

在实施战略时
，Harper采取了循序渐进的方法 。

“我认为零信任不太适合大爆炸式的部署，它太具有破坏性了，”他说，并补充说他在旅程早期就召集了用户小组。

“零信任架构会增加额外的摩擦，因为它会不断验证人员的访问权限 、身份 、权限
，这种摩擦可能会让用户感到沮丧
，”他说，“所以我们有焦点小组和跨职能团队，包括来自业务的代表和用户 ，这样我们就可以解释我们的目标，用户就可以分享他们的痛点和担忧
，因此，在我们实施控制措施时
，仍然可以获得良好的用户体验 。你不希望降低用户的体验质量 。你必须始终在可用性和安全性之间取得平衡。”

为了向前推进 ，Harper的团队首先在办公室实施了控制措施，从那些快速见效的领域开始
，这包括实施MFA和强制执行条件访问的技术。

然后 ，Harper制定了一份路线图，以解决在他离职后可以继续实施的更复杂问题。

Harper现在是软件公司Doodle的CISO和全球数据保护官，同时也是ISACA董事会副主席，他表示，在推动新公司的零信任模型时，他正在采取类似的方法 。

“人员
、流程和系统的融合”

2021年的一次黑客攻击让OHLA USA及其CIO Srivatsan Raghavan踏上了零信任的旅程。Raghavan解释说 ，这一事件表明，过去实施的各项安全措施“综合起来仍然不足”。

“我们有好几年都没有发生过任何事件 ，所以我们觉得自己做得对。我不愿称之为过度自信 ，但这确实是一种得到验证的感觉
。”Raghavan说。

这次攻击颠覆了这种验证，并为该公司提供了一个“做得更好的跳板，因为零信任认为
，工具是不够的，它是人员、流程和系统的融合”。

Raghavan负责安全工作 
，他和他的团队从自我检查开始：“我们必须思考我们每天的运作方式。你把所有这些都摆在桌面上，然后反思。”

他说 ，这使他意识到，随着企业构建零信任安全环境
，需要增加更多控制，并打破壁垒。

“我们必须摧毁企业内部的所有这些壁垒，才能让IT团队变得更好 ，并更好地了解整个业务。”他说。

为了帮助实现这一点，Raghavan结合美国国家标准与技术研究院(NIST)和微软(Microsoft)的框架，创建了一个框架，他的自定义框架使他的团队能够按类别划分并处理项目 ，以推进公司的零信任之旅，该框架还帮助他们评估公司在特定领域识别、保护、检测 、响应和从潜在入侵和事件中恢复的能力。

Protiviti董事总经理Puetz说，许多企业出于类似的原因发现零信任很有价值。“零信任能够使CISO将战略分解成小块，并解释网络安全计划目前处于什么位置 ，以及需要去向何方 。”他补充说。

Raghavan在使他的零信任计划成熟方面取得了显著进展。

例如，他淘汰了广域网(WAN)
，并用基于云的控制措施取而代之，包括始终在线的虚拟专用网络(VPN) 、移动设备管理(MDM)解决方案  、MFA和条件访问功能 。

他还取消了服务器管理员和网络工程师等职位 ，他说“我们不再需要这些岗位” ，并转变为高级技术人员和初级技术人员，以打破壁垒。

“我们不想在职责上划清界限。我们想反映工作的相互依存关系 
。”Raghavan说，他在这一过程中成为了注册信息安全管理人员(CISM)
。

Raghavan表示，零信任理念使他的公司——一家倡导“始终思考安全”的大型建筑公司——走上了一条更安全的道路 ，因为该公司正在采用更多的自动化和AI技术。

“零信任将使管理安全和实现更细粒度的控制变得更容易，零信任就是要尽可能细粒度地管理IT。”他补充道。“那就是我们的战略方向
，审视每一个业务流程，寻找缺陷和漏洞，然后找到通过应用零信任原则来加强我们业务运营的方式。”