指导性零信任原则“永不信任、始终验证”已经成为保护当今复杂而多样化的云网络的基本实践。不久前，您可以锁定公司的前门，相信所有有价值的信息在这些墙内都是安全的。然后沿着笔记本电脑和磁盘和记忆棒 — — 你经常会听到一个关于有人在火车上离开国家秘密的故事。如今，贵公司的数据可能会在连接的任何地方可用。随着远程办公和分布式劳动力空前增长，“任何地方”都可以“在全球任何地方”。

如今，最好的软件解决方案都在云端运行，不用说全球工业物联网网络中数以百万计的互联设备和资产。虽然云应用程序通常并不比企业预置应用程序更安全，但事实上，在当今的互联世界中，存在新的风险。数字技术和云技术扩大了安全专家的攻击面。

传统网络安全协议基于用户在公司虚拟前门经过安全的理念建模，然后在用户进入后运行位置。换句话说，它们是在云前世界中开发的。但现在，访问点越来越多，员工的个人电话或物联网打印机可能是潜在的门户，公司不得不对其安全战略进行破解。随着网络攻击创下历史新高，网络安全应处于待办列表首位的优先位置。零信任实施需要整个企业的承诺和协作。

零信任：定义和战略

2010 年，John Kindervag 在 Forrester Research 担任分析师，当时云应用和物联网设备开始快速崛起。Kindervag 正确地认可了 Forrester 系统内数据和知识产权的巨大敏感性和价值。为了应对这种日益严重的风险，他创造了零信任这个术语，并领导了其许多核心原则的发展。

零信任可定义为一种 IT 安全模型，要求每个用户和可能连接的设备严格验证其身份是位于公司范围内还是外部。零信任体系结构 (ZTA) 依赖于一组流程和协议以及专用的数字解决方案和工具来实现成功。

零信任网络访问 (ZTNA) 是零信任架构的应用，Gartner 将其定义为“应用程序或应用程序集周围的基于身份且基于上下文的逻辑访问边界”的创建。这将从公共视图中移除这些应用程序，并仅允许那些经过验证且遵守预先指定访问策略的用户。

但实际上，零信任始于企业内部的文化转型。我们倾向于从故意努力造成伤害的不良行为体角度考虑网络安全，但不幸的是，导致风险和损失的往往是无知，而不是恶意行为。事实上，最近的一份报告显示，2022 年上半年，电子邮件攻击事件增加了 48%，在这些事件中，由于网络钓鱼，员工被诱骗成诈骗或泄露的详细信息。这说明为什么教育和文化认同是实现零信任的关键组成部分。

为什么现在零信任原则如此必要？

毫无疑问，网络攻击呈上升趋势。2022 年，开展了一项重大调查，涉及 14 个不同行业和 16 个国家/地区的 1,200 个大型组织。尽管优先考虑网络安全，但许多受访者都承认安全不足。事实上，调查结果显示，2020 年至 2021 年，数月内，重大违规事件数量急剧增加 20.5%。

以下是当今企业面临的其他一些安全挑战：

• 旧防火墙。许多公司在云连接激增之前过度依赖防火墙。VPN 是增强防火墙的可行助力，但由于其范围有限，并且倾向于降低业务应用性能，进而影响员工生产力，因此它们不是一个有效的长期解决方案。
• 验证复杂性。设备无关软件非常适合用户，但会在安全协议中添加一个复杂的层。即使用户拥有公司电话和笔记本电脑，他们也只能像为保护他们而制定的验证和安全协议一样安全。
• 第三方设备。随着新冠疫情，员工几乎一夜之间就被派往家办公。许多公司别无选择，只能让员工使用自己的计算机和设备。在许多情况下，建立了安全应急方案，以保持业务正常运行和正常运行。但对于许多公司而言，他们尚未解开这些临时措施，为远程员工实施更多防弹性的零信任措施。
• 未经授权的应用程序。SaaS 业务应用的使用稳步向上。遗憾的是，许多 IT 团队都捉襟见肘，通常会导致用户在不通知其 IT 团队的情况下购买自己的应用并在公司网络中使用这些应用。这些应用不仅不受严格的零信任实践的约束，而且也可能完全绕过安全措施。

• 物联网连接。工业物联网设备可以像风扇或焊接机一样简单。由于这些设备不被视为任何类型的“计算机”，因此用户可以轻易忘记他们是进入公司网络的潜在访问点。零信任体系结构将自动化和流程落实到位，以确保所有端点、机器和物联网资产的安全性。
• 全渠道门户。员工不是企业云中的唯一员工。我们看到越来越多的互联设备，例如商店中的智能货架和“随时随地支付”移动应用。其中任何一个全渠道门户都存在风险。零信任有助于保护这些风险，而不会给客户带来不必要的不便或延迟。
• ERP 安全挑战。过去几年，ERP 系统仅限于某些计划和财务任务，并且在企业内拥有一组有限的用户。但是，当今最佳的 ERP 云系统是由人工智能、高级分析和功能强大且可扩展的数据库驱动的。它们能够与整个企业的不同应用程序和系统集成，并越来越多地用于优化和简化每个运营领域。现代 ERP 系统内置了高级安全系统，但与任何系统一样，它们都存在漏洞，只是因为覆盖面和可访问性更广。零信任原则适用于强大的 ERP 云安全性，有助于保护各个阶段的业务。

零信任是如何运作的？

零信任结合了一系列技术和协议，例如多因素身份验证、端点安全解决方案和基于云的工具，用于监控和验证从用户到端点的各种属性和身份。零信任还需要加密数据、电子邮件和工作负载，以确保其安全性。实质上，零信任协议：

• 控制并限制任何人、任何地方、任何设备或资产对网络的访问
• 验证任何能够或可以访问任何网络级别的用户或资产。
• 实时记录和检查所有网络流量

零信任安全模型使用“需者方知”策略。从本质上讲，这意味着用户只能访问完成作业所需的数据和应用程序。再次，技术是比赛中的双刃剑，是为了更好的网络安全。随着数字解决方案和连接的改进，它们创造了更大的攻击面，因此需要更好、更快的安全技术才能跟上步伐。不仅要跟上步伐，还能为用户带来最少的不便和干扰。这需要高度敏捷和动态的安全策略，并由上下文信息和最大可用数据点数量实时提供支持。谁是此人？他们在哪里？他们想访问什么？他们为什么需要这种访问权限？它们采用了哪些设备或端点？

零信任解决方案的优势

最严重的是，数据泄露可能是灾难性的。客户的个人数据与你的财务、知识产权，当然还有你的良好声誉有关。像保险一样，安全投资似乎是一笔大笔开支……直到您需要它们。然后，他们看起来像一个小价钱来保护您的业务。

零信任解决方案的一些优势包括：

• 保护混合办公和远程办公模式。我们已经讨论了远程办公人员和个人设备如何颠覆网络安全游戏。但是，企业不仅面临风险，网络犯罪分子可能会以你的员工个人为目标，因此必须确保采取严格的措施来降低他们的风险和你的风险。
• 支持敏捷性和新的业务模式。要想竞争和管理颠覆性变革，企业必须革新和探索新的业务模式。这意味着上线新的应用程序、软件和连接的资产。在这种情况下，如果手动处理，确保安全性是一项艰巨的任务。幸运的是，最好的零信任软件工具可以使用智能自动化和可定制解决方案加快进程，以确保执行所有关键步骤。
• 减少 IT 资源费用。向任何 IT 专业人员询问他们花费在手动安全任务上的时间，答案可能是“太多”。随着企业将其核心企业系统迁移至云端，安全补丁和更新可以在后台自动执行。这也适用于零信任安全协议。从用户到端点，许多与零信任相关的核心加密和验证任务可以自动化并计划。
• 提供准确的库存。零信任原则要求公司保留所有资产、用户、设备、应用程序和互联资源的准确库存。借助正确的解决方案，可以将库存更新设置为自动更新，确保实时准确性。如果企图违约，这是一项宝贵的调查工具。此外，公司经常将数百万人与资产挂钩，因此准确的库存也是一项财务收益。
• 提供更好的用户体验。传统的核查过程可能很慢，而且难以管理。这导致用户要么试图规避安全协议，要么由于难以使用而避免使用基本工具和应用程序。最佳零信任解决方案旨在实现无侵入性和响应性，从而减轻员工发明（然后遗忘）密码的麻烦，并减慢响应验证流程。

零信任卓越实践：开启 SAP S/4HANA 之旅

零信任转换开始后，您需要执行多项任务。这包括对资产进行编录、定义组织内的段以及对数据进行分类以实现更顺畅的转换。

零信任始于承诺，以下步骤可帮助您不断发展：

• 委托。您的 IT 团队已经太忙。考虑引入或指派专门的网络安全变更管理专家，帮助他们降低风险，发现改进机会，并制定行之有效的路线图。
• 通信。坦白说，关于更严格的安全措施，你的员工不会立即感到激动。在投资提高安全性的同时，还应围绕这一转型投资更具吸引力的宣传和沟通。有许多真实实例表明网络犯罪的危险。帮助你的团队了解数据泄露不仅会给首席级高管带来冲击，而且不仅会耗费工作、影响个人并威胁到企业的生存。
• 审计。与安全专家合作，建立安全风险检查清单，并审计每个业务领域。打破孤岛，与团队内的主题专家建立联系。他们比任何在其领域存在弱点和漏洞的人更了解，特别是在供应链和物流等复杂的全球运营中。
• 划分优先级。确定所有业务运营和任务的相对重要性和紧急性，并分配评级。确定基于角色的评估，评估哪些人员严重需要访问事物，谁更需要访问。此初始优先级划分还将帮助您为微细分做好准备，微细分是零信任的基本组成部分 - 防止横向移动及其随之而来的数据泄露暴露。

在当今的委婉和细心的语言世界中，零信任似乎对员工来说有点愤怒。所以，当你向你的团队介绍零信任时，你就能做到这一点。从一开始就告诉他们，这绝不意味着你不信任他们。这是网络罪犯，没有人应该信任，因为他们能够让事情看起来像他们不信任的东西。他们能潜入最微小的差距， 一旦在里面，就不在乎自己损害谁。