如今,零信任是每个人都想加入的热门新趋势。 它是我们的《2022 年application战略状况》报告中确定的三大“最令人兴奋”的趋势之一,并且在过去的十二个月中一直在 Google 趋势中受到高度关注。
结果是,自“左移”进入房间以来,零信任成为最受关注和误解的安全方法之一。 人们常常将零信任等同于特定技术,例如软件定义边界 (SDP),或细分市场,例如身份和访问权限管理(IDAM)。
这其实并不奇怪。 当云计算刚刚推出时,我们也看到人们热衷于将具体的技术或产品等同于“热门新趋势”。 云洗是一种经常发生的事情,通常用来贬义某些新产品实际上的“云雾”。
因此,我有必要首先对零信任进行定义。 我将引用我的同事 Ken Arora 和 Mudit Tyagi 的话,他们已经就此主题发表了一篇出色的指南:
这一点很重要,所以我要再重复一遍:零信任安全本质上是一种心态。
这种思维方式包含一系列假设,而技术的使用则是这些假设的结果。
这意味着实施 SDP 或 API 安全之类的技术并不意味着您采用了零信任。 您部署的任何单一产品都不会突然意味着您符合“零信任标准”,从而免受攻击、破坏或漏洞利用。
事实上,SDP 和 API 安全实际上可能是采用零信任方法的适当战术响应。 但要达到这个目的,您需要从一些核心假设开始,然后决定从这些假设中逻辑得出的最佳工具和技术是什么。
为了充实这一点,让我们看几个例子,正如标题所说,这些例子让我们得出结论,机器人保护和 Web 和 API 安全是“零信任”工具箱的一部分。
现在,这种方法还带来了其他工具和技术,如 SDP 和身份和访问控制、网络防火墙和 CASB,以及许多其他可减轻这些假设自然产生的已知风险的解决方案。 但你不能只实施其中之一,就说你的零信任计划已经完成。 这就像是服用泰诺来治疗断腿而不是去看医生一样。 是的,它可以减轻疼痛,但对于实际解决其余问题没有任何作用。
采用零信任作为一种导致缓解的思维转变并不完美——没有一种方法是完美的——但它将使您在适应能力更强的道路上走得更远,能够更快、更成功地应对新出现的攻击。
在外面要注意安全。
您可以在我们的书《数字业务的企业架构》的第 5 章中了解有关使用零信任方法实现安全性现代化的更多信息。