時至今日，關(guān)于“零信任”概念仍然存在種種定義層面的誤解與爭議。零信任不是一種產(chǎn)品或者平臺，而是一種強(qiáng)調(diào)“永不信任、始終驗證”以及“誰違規(guī)、誰擔(dān)責(zé)”原則的安全框架。

　　因此，任何指望直接購買“零信任產(chǎn)品”的組織，都必然遭遇失敗的命運(yùn)。

　　供應(yīng)商總有不計其數(shù)的銷售手段，特別善于把自己的安全解決方案、平臺甚至是功能部件描述成“零信任”的代表。似乎只要買了他們的產(chǎn)品，您的安全需求就能得到滿足。但這顯然是種誤解，而且那些把“零信任”喊得特別響亮的安全廠商，自己都沒能做到零信任。

　　01 不存在快速實(shí)現(xiàn)零信任的捷徑

　　零信任的實(shí)現(xiàn)道路復(fù)雜且漫長，甚至很難定義明確的起點(diǎn)。為了給大家?guī)硪稽c(diǎn)啟發(fā)，本文希望從實(shí)現(xiàn)角度整理出一份實(shí)現(xiàn)零信任的方向指引。首先，千萬不要指望買下某些產(chǎn)品就能馬上實(shí)現(xiàn)零信任——根本就不可能。

　　組織需要制定達(dá)成零信任架構(gòu)的戰(zhàn)略，這套架構(gòu)的涵蓋范圍應(yīng)該超越純技術(shù)與宣傳流行語。零信任擴(kuò)展（ZTX）生態(tài)系統(tǒng)就是個典型示例，這樣的生態(tài)系統(tǒng)至少需要：

　　評估現(xiàn)有安全程序的“零信任”成熟度（人員、技能、技術(shù)、能力等），包括理解人們的工作方式、現(xiàn)有業(yè)務(wù)流程的實(shí)現(xiàn)方式、與現(xiàn)有技術(shù)能力的映射狀態(tài)以及欠缺之處。

　　將成熟度評估結(jié)果與ZTX框架映射起來，了解組織在哪些方面表現(xiàn)出色、在哪些方面仍有不足，然后梳理出需要改進(jìn)的部分。

　　考慮引入新的工具與技術(shù)改進(jìn)這些不足，并將零信任戰(zhàn)略引入現(xiàn)有業(yè)務(wù)、IT以及安全項目當(dāng)中。

　　02 零信任不是某個工具或平臺，而是一種安全框架

　　ZTX是一種同時囊括技術(shù)與非技術(shù)部分的生態(tài)系統(tǒng)。傳統(tǒng)方案中的明確保護(hù)邊界與安全實(shí)施策略往往不夠靈活，大多由彼此隔絕的單體式解決方案設(shè)計而成。與之相反，零信任更多強(qiáng)調(diào)持續(xù)進(jìn)行的安全審查與安全態(tài)勢優(yōu)化。

　　零信任的這種靈活性與集成性，幫助企業(yè)輕松適應(yīng)業(yè)務(wù)變化。但企業(yè)對于安全廠商的宣傳內(nèi)容應(yīng)保持審慎，深入了解產(chǎn)品的具體細(xì)節(jié)，并及時發(fā)現(xiàn)其中太過完美、不夠可信的描述與承諾。

　　要求安全廠商解答關(guān)于產(chǎn)品的問題，例如他們展示的功能該如何嵌入ZTX生態(tài)系統(tǒng)。如果得不到答案，對方很可能根本就不了解零信任的本質(zhì)。無論具體回應(yīng)如何，安全廠商都至少要承認(rèn)這樣一項事實(shí)：零信任在不同的組織內(nèi)對應(yīng)不同的流程，任何一款現(xiàn)成產(chǎn)品都不可能一夜之間實(shí)現(xiàn)零信任。這種將解決方案宣揚(yáng)為實(shí)現(xiàn)零信任捷徑的行為，完全就是虛假廣告案例，最終也只會令客戶身陷失敗的泥潭。

　　03 零信任不是一場沖刺，而是一段漫長的旅程

　　撥開炒作與虛假宣傳的迷霧，我們最終還是要把零信任引導(dǎo)落地。零信任應(yīng)該是一種新的常態(tài)。

　　COVID-19疫情大大改變了我們的工作方式，并迫使眾多組織加快自身數(shù)字化轉(zhuǎn)型與安全策略。通過認(rèn)真研究這些安全解決方案是否適合ZTX生態(tài)系統(tǒng)中的各項原則性支柱，特別是能否匹配組織內(nèi)的整體零信任戰(zhàn)略，我們才能準(zhǔn)確判斷安全廠商的產(chǎn)品到底靠不靠譜。

　　總而言之，安全產(chǎn)品應(yīng)該幫助組織在改善員工體驗的同時達(dá)成“零信任”，而不只是業(yè)務(wù)發(fā)展道路上的又一塊打著“保護(hù)”旗號的頑石。