The hacker news發佈了一篇不要相信炒作:打破神話的零信任行銷
零信任的最大威脅並不是來自一群常見的資安嫌疑犯,而是那些讓人對其能力產生不切實際期望的行銷炒作。零信任被吹捧成能夠實現「100% 安全」的理念,但這是一個謬誤。認為組織可以購買「一盒零信任」,然後像插上即用的解決方案一樣,這種想法是誤導性的。實際上,零信任需要時間和持續的管理,無法「設定並忘記」。
讓我們來揭開一些可能對實施零信任的組織產生負面影響的誤解。首先,零信任並不是可以從貨架上購買的產品,而是一種包含多個方面的架構方法。根據國家標準與技術研究所(NIST)和國家資安基礎設施局(CISA)的零信任成熟度模型,零信任的支柱包括身份、設備、網路/環境、應用工作負載和數據。每個支柱都有其獨特的挑戰和需求,可能需要多個解決方案來應對。例如,零信任網路的需求包括身份驗證和授權、最低權限訪問以及持續風險評估。多重身份驗證(MFA)、身份和訪問管理(IAM)、網路分割、網路監控和零信任網路訪問(ZTNA)等各種解決方案有助於實現這些需求。不幸的是,ZTNA(零信任網路訪問)已被過度吹捧,甚至對零信任網路和整體零信任產生了負面影響。
其次,零信任網路是零信任架構的重要組成部分,但行業將ZTNA(零信任網路訪問)市場為一個全面解決方案,這混淆了其在更大框架內的角色。儘管ZTNA提供了初始的存取控制,但在授權後並未提供持續的可見性和控制。ZTNA還可能受到損壞的憑證和內部攻擊的影響。依賴軟體代理和對端點流量的解密會產生管理上的複雜性,特別是考慮到物聯網(IoT)和運營技術(OT)設備的多樣性。教育是揭示有關ZTNA的行銷宣稱的關鍵。了解零信任網路、ZTN和ZTNA之間的層次結構,就會幫助組織更好地應用。
詳情請看: