零信任是每个CIO和CISO的重点工作，零信任主要是为了克服当今现代IT领域中传统安全方法带来的挑战。根据Cyber​​security Insiders的数据显示，只有15%的企业表示他们在2019年底前已部署零信任政策，但超过50%的企业计划在明年部署。越来越多的企业正过渡到零信任安全模型，但是很少企业将这一目标变为现实。

首先，我们应该理解为什么零信任现在已经成为最重要的问题。直到最近，企业主要依靠网络访问权限和分段来隔离受信任的内部网络流量与不受信任的外部流量。但是，一旦攻击者入侵网络，该网络内的所有数据可能会受到威胁。通过分析和检查，我们看到这个明显的趋势：大多数严重的数据泄露事故发生在攻击者在网络内找到立足点后。当攻击者进入网络后，他们可以利用系统漏洞、受攻击的凭证或防火墙中的漏洞，以在没有检测到的情况下进入其他内部系统。

是时候部署零信任

鉴于我们所知道的，企业正在寻找方法以限制攻击者在企业环境中横向移动。但是，在当今世界，仅靠网络分段和最低特权的网络访问并不够。COVID-19疫情加速SaaS的使用，这使关键数据传输到常规网络边界之外。

这就是零信任安全模型发挥作用的地方。零信任是假定网络边界的两边都存在不受信任的用户。通过使用这种方法，用户就不会毫无疑问地信任企业内部或外部的任何事物。任何尝试连接到内部业务系统的设备或用户都必须经过验证，然后才能授予访问权限。零信任还要求强制执行最小特权方法的治理策略，这意味着将为用户授予完成特定任务所需的最小访问权限。为此，企业经常使用多种技术，包括多因素身份验证、身份和访问管理、网络访问控制和加密。

零信任方法的另一个关键要素是监视和检查所有请求，而不仅仅是外部发出的请求。即使你拥有最低特权访问权限，总会有特权用户访问系统中的敏感数据，从而使这些用户成为配置更改和数据泄漏的潜在渠道。因此，企业需要对用户活动进行持续的监视和分析，以确保可以迅速发现和消除任何潜在风险。

所有拥有敏感数据的企业都应考虑零信任模型。政府机构经常制定标准，因为他们是网络攻击的最常见目标，但他们采用的方法也应在整个私营部门中使用。无论是客户数据、员工数据、财务数据还是知识产权，零信任原则都可以确保重要资产的安全。我们无法避免攻击者攻击设备或凭据，而攻击者后续的攻击程度取决于企业建立最小特权访问的程度，以及缩小这些设备和凭据可以执行的范围的程度。

单靠网络不能保护数据

跨身份、网络、设备和应用程序部署零信任模型非常重要，它可以帮助避免导致关键数据丢失到重大数据泄露事故。对于那些不确定零信任度价值的企业，应从对其身份、网络、设备和应用程序的审核开始。毫无疑问，他们会发现影子IT、僵尸帐户和特权用户过多的情况，这些情况显然存在危险。

零信任的理念可以立即开始解决当前的差距，并为管理未来的风险提供基础。对于零信任，目标是随着时间流逝减少风险，实现持续改善，并认识到某些风险可能始终存在，但风险更小总好于更多。