網(wǎng)絡(luò)安全行業(yè)的最新的一個流行語是“零信任”安全模型。簡而言之，零信任模型意味著不留任何出錯的空間，不信任任何人或事。

由于新冠疫情推動了混合工作方式以及一些新興技術(shù)的出現(xiàn)，如元宇宙、Web 3.0、增強現(xiàn)實(AR)和虛擬現(xiàn)實(VR)，網(wǎng)絡(luò)安全行業(yè)正一如既往的努力，以盡可能地為未來做好準(zhǔn)備。不過，我們還沒有看到這些新技術(shù)的演變及其影響，因此在使用這些技術(shù)時我們需要謹(jǐn)慎行事。

那么，零信任究竟是什么？它是一個新產(chǎn)品嗎？還是一個認(rèn)證或僅僅只是網(wǎng)絡(luò)安全行業(yè)的一個流行語？

一些組織誤以為零信任是一個有形的產(chǎn)品或認(rèn)證。事實上，零信任模型不是網(wǎng)絡(luò)安全行業(yè)的一個有形產(chǎn)品或認(rèn)證。部署零信任安全模型是為了確保端到端的網(wǎng)絡(luò)和云安全，也是為了保護我們內(nèi)部以及外部利益相關(guān)者的安全。零信任遵循的一個最重要的概念是“永不信任，持續(xù)驗證”。其中包括啟用多因素認(rèn)證，以授予對任何應(yīng)用程序或平臺的訪問。此外，還包括采用安全邊界的微分段以避免一切安全漏洞。

如果沒有在員工中建立合規(guī)性和良好習(xí)慣，任何新的安全功能或模型都不是完全沒有風(fēng)險的。同樣地，零信任就是要在員工內(nèi)部建立良好的習(xí)慣。此外，它還涉及確保您的員工在訪問任何應(yīng)用程序或平臺時啟用多因素身份驗證。零信任是一種附加形式的合規(guī)層，IT 管理員、高層人員甚至部署人員都不應(yīng)繞過它。應(yīng)該有一種自上而下的方法，并且必須讓所有員工持續(xù)進行身份認(rèn)證和驗證，以在組織內(nèi)建立更好的安全態(tài)勢。

零信任模式不僅僅指多因素認(rèn)證。它還要求所有的用戶在訪問任何類型的應(yīng)用程序和數(shù)據(jù)時，都要經(jīng)過認(rèn)證、授權(quán)，并對他們的安全配置進行持續(xù)驗證。它的作用就像一個附加的安全層。零信任模型確實有各種好處，例如，你的員工可以進行遠(yuǎn)程認(rèn)證和驗證，這將使他們能夠在遠(yuǎn)程或混合工作場景下從容地工作。

那么，您可以隨時采用零信任模型嗎？

在部署任何新的安全模型之前，我們需要了解投資回報率。我們需要知道我們是否真的需要它。雖然了解到零信任是保護企業(yè)重要資產(chǎn)的一種方法很重要，但同樣重要的是要知道“果汁是否值得榨取（是否值得投資）”。

決定部署零信任安全的前提是您的組織已經(jīng)是一個數(shù)字化組織。要想在組織內(nèi)應(yīng)用零信任模式，您的組織需要是一個已經(jīng)數(shù)字化的組織，擁有需要云和網(wǎng)絡(luò)保護的數(shù)字資產(chǎn)。您的員工應(yīng)該擁有可以自我驗證的數(shù)字資產(chǎn)。

我們不需要跳入每一次浪潮中，也不用去部署每一個最新推出的技術(shù)。我們首先還是要了解自己的安全需求，再采取相應(yīng)的行動。只有當(dāng)您和您的員工愿意長期致力于零信任或其他安全技術(shù)，并建立良好的習(xí)慣，以確保完整的網(wǎng)絡(luò)安全，您的網(wǎng)絡(luò)安全投資才是值得的。