“零信任”是否可以信任？

零信任制代表着新一代的网络安全保护理念，其关键在于打破默认的“信任制”，用一句通俗的话概括为“持续验证，永不信任”。缺省情况下不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重建访问控制的信任基础，从而确保具有身份可信度、设备可信度、应用可信度和链接可信度。

这种模式要求对所有用户、设备和系统都进行身份验证，因此，数字身份就形成了新的边界。

随着多云环境、BYOD 设备、物联网和新冠状病毒的爆发加速了远程办公的发展，企业网络的安全保护问题已成为困扰企业的难题。很多原来只使用单一认证的企业也开始寻求“零信任”的方式来保证正确的认证。

因此，在考虑向“零信任”迁移时，最好遵循以下四个概念。

零信任制是一套原则

零信任制是一套原则，而非特定的特定产品。尽管技术是零信任不可缺少的一部分，但它只是一个更广泛的策略的一部分，需要改变用户、设备和系统在网络上的互连方式。

数字身份方法可以使用“零信任”创建强大的相互身份验证，其中包括授予网络中的每个用户、设备和进程详细的访问和权限。

PKI 是建立“零信任”的基础

验证用户和设备是起点。在过去，企业会要求使用复杂的口令或认证(MFA)以提供更深层的安全措施，但这些方法都有漏洞。口令是非常容易被盗的，不法分子还可以轻松截获MFA所依赖的一次性口令或软令认证。

而且 PKI 是认证和加密的黄金标准，借助于 PKI，企业或组织可以在保证开启最高级别用户认证和设备认证的同时，不影响员工的工作效率或用户体验。

通过将密码替换为用户证书，用即时认证取代了繁琐的传统 MFA，并自动执行所有身份证书的生命周期，PKI 支持企业确保了业务的连续性。

零信任制需要中央化的管理、政策支持和执行

为企业连接网络和设备的多样化生态系统提供高效率的安全和认证并不容易。零信任不仅取决于治理和政策，也取决于执行。

考虑到今天企业中数以千计的互联网络上的人、设备和系统，手工管理身份几乎是不可能的，更不要说手工管理证书会造成漏洞，比如证书过期可能导致服务中断。

公司需要以自动化的集中方式颁发、撤销和替换证书，这样IT团队就可以自动化地管理证书的生命周期，这样就可以实现零信任和零接触。

向“零信任”的逐步过渡

在自动化和单一管理的帮助下，将整个企业或组织转移到“零信任”的状态似乎也是非常困难的。幸好，企业或组织并不需要一次性地完成整个迁移过程，就像我们一开始所说的，“零信任”并不是一个特定的产品，而是一个模式，企业或组织可以通过逐渐地实现零信任来减少过渡到零信任的难度，让这个过程变得尽可能简单。