信息化带来的数据安全和信息泄露问题,物联网带来的边界模糊和不安全终端问题,迫使各种组织开始寻求持续认证的安全解决方案,这就是零信任模型受到广泛关注的原因。
零信任的概念虽然已经有了十年的历史,但直到近两年才开始流行,实施困难始终都是个问题。零信任概念的发明机构Forrester Research的首席分析师认为,与传统的安全架构、模型不同,零信任是自顶向下驱动的,而过去的安全是由一线从业人员的实际需求推动的。
网络安全调研机构Cybersecurity Insider本月公布了一份调查报告《零信任进展报告》,报告显示约有四分之三的企业今年有采用零信任访问模式的计划,但有将近三分之一的企业表示缺乏实施信心,而6%的企业则根本没有信心。
其他的调研报告也有类似的观点。安全公司Pulse Secure的调研显示,由于零信任聚集于是用户和上下文,因此安全人员会担心不恰当的赋权,包括内部员工以及合作伙伴的访问权限和访问内容。同时,无处不在的移动设备也是一个很大的风险。终端设备的可见性、用户的连续认证和安全的强访问控制,都是零信任架构所必要的。
为了获得零信任带来的好处,需要企业把整个基础设施都迁至到新的架构上,这个过程无疑是需要打通很多个环节,包括技术上的、管理上的和思想意识上的,因而也一定会是漫长的。所以,一线从业人员可以考虑在云端使用零信任,云属于新兴的基础设施,不会面临过多的“技术还债”的问题。
但另一方面,有许多企业在安全方面有着很重的历史积累,比如数据和敏感信息保护等都是在本地的数据中心,花了很大的投入和时间,因此短时间内也不大可能放弃所有这一切而上云。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
