零信任安全架构应如何落地？

过去，我们认为企业如同一座被城墙(防火墙)、护城河(DMZ)和吊桥(访问控制)层层防护起来的坚固城池，但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下，零信任理念已经逐渐成为解决网络安全问题的重要推手。 iSMG最近发布的《2022年零信任策略报告》显示：绝大多数受访者都表示零信任对于降低网络安全风险至关重要;近一半(46%)的受访者表示零信任是2022年最重要的安全实践。 此外，Forrester的另一项面向300余家大型企业的调查报告也显示：78%的安全高管均计划在今年增加对零信任的使用力度。 尽管零信任是大多数网络安全团队的首选，但其实际落地却不尽乐观。在Forrester所调查的企业中，能够全面部署零信任的企业所占比例仅为6%;另有30%的受访者表示只是在企业局部部署了零信任;还有63%的受访者表示，其企业内部对零信任项目现仍于评估、规划或试点阶段。 2021年5月，美国政府在改善国家网络安全的行政令中要求政府机构要采用零信任方案，政令发布后，美国行政管理和预算办公室(英文简称：OMB)随即发布了如何推进零信任架构落地的战略方案，此外，接二连三，CISA在去年秋季发布了《零信任成熟度模型》、NIST发布了白皮书《零信任架构规划》，其中，《零信任架构规划》阐述了如何利用网络安全框架(CSF)和NIST风险管理框架(RMF，SP800–37)来助力企业顺利迁移升级为零信任架构。 以下是上述国外应对零信任架构实际落地的五个优秀实践总结，供读者了解、