从各种信息了解到,目前国内的几大安全厂商纷纷把“零信任”产品当作战略在推。

“零信任”其实并不是一个新东西,在国外2010年就提出这个概念。老外当时提这个概念的时候,可能确实有可取之处,那么到了十几年后的今天,国内的一些人重新在把“零信任”拿出来推广,就未必值得,因为毕竟信息技术经过了十几年的发展,就算没有“零信任”这个概念,实际上很多相关的安全技术(如身份与访问管理技术,基于属性的访问控制模型以及终端设备环境风险评估技术等)都是已经在应用了,为此“零信任”也一直被人质疑是不是“新瓶装旧酒”。

信息安全其实涵盖的东西是非常庞大的,而“零信任”仅仅针对的是网络架构安全的,这仅仅是信息安全其中非常小的一个点。因此把“零信任”当作重心,当作战略,甚至当作信息安全终极解决方案,这绝对是一个歪路,是一个战略性的错误。

力推“零信任”的人不断地说传统的网络安全架构存在很多威胁,不安全,而似乎故意忽略“零信任”存在的威胁。我们都知道,安全只能是相对的,绝对安全,零风险是不存在的,“零信任”同样的会存在各种各样的威胁。

“零信任”产品比较适合办公灵活的中小企业,这类型企业往往没有自己的机房,使用云服务器的居多,与“零信任”产品使用场景比较符合,其公司网络架构也比较单一、简单,加上中小企业网络以及信息安全人员配备不足,使用现成的产品的会省去很多事情,唯一不足的是可能会对原有业务过程造成阻碍和冲击。

大型企业就不适合使用“零信任”产品了,其原因有以下几个方面:

(1)一般大型企业有自建机房,几乎所有重要的数据不会使用公有云进行存储,网络架构大部分还是属于传统的边界安全模型,加上网络架构比较复杂,不太适合“零信任”产品使用场景。

(2)大型企业短时间内不可能听信“零信任”派的忽悠——为了符合“零信任”产品的使用场景,进行网络架构的调整,开放企业边界,直接“躺平”,接受“坏人”无处不在的现实,进而去使用“零信任”产品。

(3)大型企业人员多,如果使用“零信任”产品成本会过高,而大型企业本身网络及信息安全相关专业人员配备充足,对于很多“零信任”产品能够实现的功能,企业内部这些专业人员往往也能够将其实现,而且会比直接使用产品更加灵活,应对大型企业复杂多样的网络架构更具优势。

所谓的“零信任”产品其实是一个以“自我为中心”,“以安全为中心”的一个产品,设计的过程中完全忽视了对企业本身业务的影响。“零信任”派忽悠说,传统的边界安全模型存在很多缺陷,不符合现在发展趋势,所以企业都需要把企业的边界墙都推倒,直接“躺平”,直接“认输”,进而去采用“零信任”模型。首先不说“零信任”模型是否真的会如“零信任”派所说的那样的安全,但是肯定会对业务造成很大影响,企业的各部门都会有很大的反对意见。这其实跟中国这几年的防疫很像,前两年中国的边境守好了,中国内部其实影响不大,大家到处旅游,一派国泰民安的盛世景象,而到了2022年,有人要尝试新防疫模式,要搞精准防疫,结果“外放输入”没有做好,国内疫情遍地开花,此起彼伏,到处封控,到处做核酸,对国内百姓生活影响很大。所以说,企业采用“零信任”模型,让企业内部变得不安全,而依靠“零信任”产品来保证安全,最后只会像2022年天天全民核酸让民众不厌其烦那样,最终给企业员工在进行正常业务的时候造成很多不便。