ReadMore

似乎每个细分市场的安全供应商都在以某种方式将其产品定位为提供零信任。这种现象正在迅速普及，主要原因在于为组织提供了一种更全面的IT安全和网络防御方法，允许其在不牺牲性能和用户体验的情况下限制对网络、应用程序和环境的访问控制。

越来越多的企业正在向混合工作模式过渡，74%的美国公司正在使用、或计划永久允许其员工既可以远程又可到岗工作。这给各个组织带来了一系列新的挑战，特别是在网络安全方面，重新评估其网络安全方法变得至关重要。组织必须制定战略，满足新形势需要。采用零信任模式正迅速成为许多行业领域企业的发展方向。

网络攻击的急剧上升，行业间有关零信任的对话也迅速增加起来。不过，攻击频率是一方面原因，方法的多样性则是另一方面。

源自组织网络内部的内部威胁正在上升。研究表明，在2018年和2020年间，涉及内部威胁的事件频率高发、增加了47%，内部人员对约22%的安全事件负责。

内部威胁可能是恶意行为、或无意的人为错误的产物。内部人员可以是现任或前任雇员、顾问或第三方。在某些情况下，这些人甚至不知道他们所做的就是内部威胁。漏洞可能源于一些无恶意的动作，例如将受感染的设备或文件带入网络，或与不安全的个人账号分享敏感信息。由于混合工作的兴起，后者可能还在增加。

零信任的规划通常涉及企业架构师、安全架构师和IT安全领导者。其实施还涉及IT安全分析师和安全运营人员。

作为其所在组织的大使，企业架构师和其他架构从业人员都必须努力让组织的其他成员参与进来。这一步并不容易，但确实非常必要。这个过程首先要让C级高管和董事会知晓：如果不以适当的方式解决网络安全挑战，企业就可能面临一些难以接受的后果。

如今，每个组织都是数字化的，所以技术必须成为每个公司业务战略的关键支柱。网络安全投资因此不可或缺。企业架构师要在组织内实现可见性最大化，就需要清楚地传达网络安全如何保护业务、同时促进并加速业务战略和增长。

零信任允许组织在整个信息安全管理过程中更加注重认证，还能支持认证的方法更加普遍、严格和频繁。以前的信息安全管理都是以网络为中心，而零信任则允许采用以资产和数据为中心的方法。同时也更加注重认证，针对计算设备、应用程序、API、微分段和数据本身（例如能够应用加密）的安全控制更多。

如果在过去几年我们有什么可以借鉴的话，可以预期到的是网络攻击会继续增加。因此，就需要一种演进的网络安全方法，而在整个系统中保持零信任的心态是关键。

多年来，零信任安全一直被非正式地描述为一种“标准”。不过，其作为一种标准目前正在正式化的进程中。虽然许多供应商创建了其各自的零信任定义，但一些公认的标准机构为此开发的标准（如NIST 800-207和IETF），将帮助企业领导人将其所在组织与零信任架构接轨。The Open Group 零信任架构工作组和NIST等组织还提供了额外的指导，包括新兴的参考模型，可以帮助缓解向零信任架构的过渡。