落地零信任，安全厂商必须回答的8个问题！

随着网络边界的消失，零信任技术成为业界关注的焦点。但在零信任的理念下，企业需要面对大量的权限排序和资产识别，这涉及到各种业务系统、认证系统、终端设备、接入协议的对接。因此，其建设难度可想而知。最终很多零信任项目不得不面临建设周期长、运维压力大、投入产出低的挑战。

要想实现零信任项目的成功，不仅需要企业用户投入足够的人员、时间、资源和预算来保障，还需要确保所选择的零信任安全厂商真正有能力应对建设挑战。因此，在实施零信任项目之前，企业用户需要向零信任安全厂商提出以下八个问题，并做出准确判断:

1.零信任安全厂商能否帮助用户充分利用现有的网络安全基础设施？

在采用零信任的概念之前，很多企业已经在安全和网络软硬件设备上投入了大量的资金很多年了。安全供应商应该能够尽可能地利用现有的技术和设备，同时向零信任解决方案转型。

大多数企业实际上已经实施了一些与零信任相关的元素，如身份管理、访问控制、双因素认证、网络分段等管理策略。这些企业需要的是一种全面的、集成的、可扩展的战略驱动方式，来实现零信任解决方案的全面实施。他们需要寻找能够帮助他们在对现有内部基础架构进行少量更改的情况下实现零信任转型的安全供应商。

2.零信任安全厂商真的了解用户的零信任建设需求和目标吗？

一个优秀的零信任解决方案提供商，在为企业做规划时，不会仅仅在管理层面前流于表面，而是会根据企业组织目前所面临的实际业务挑战，建立清晰的解决方案，并在一定程度上保证这些解决方案的实施效果，从而达到企业组织所要求的业务目标。

组织的具体目标可能包括为在家工作的员工提供安全的远程访问，保护本地和云中的敏感数据，或者加强软件开发人员的API安全性。因此，安全厂商应该能够根据企业组织的具体业务需求，定制可执行且有效的解决方案。

3.零信任安全厂商未来是否有能力将用户企业中的身份管理整合到整体的安全控制措施中？

身份是新一代安全架构的基础。零信任安全厂商要保持与企业组织的需求一致，有足够的技术能力帮助企业采用全面的身份管理策略进行网络系统的安全控制，并不容易。

目前，企业组织中的身份管理存在很多空白。例如，许多企业会忽略在员工访问Web应用程序等场景中采用精细身份管理的需求。有很多单点解决方案(如Web应用防火墙)可以填补这些空白，但如果这些单点解决方案不能很好地整合，就不会形成支持所有身份使用场景的整体解决方案。

然而，一个成熟的安全供应商可以通过安全协调、自动化和响应(SOAR)或扩展检测和响应(XDR)等工具帮助企业实现最大程度的统一身份管理。

4.零信任安全厂商能否帮助企业合理规划零信任建设的优先级，快速取得阶段性应用成果？

安全厂商在为企业组织构建零信任解决方案时，应将用户体验放在首位，并尽力保证零信任解决方案在企业内部实施过程的顺畅。否则，员工会认为解决方案妨碍了正常工作，并试图绕过解决方案中包含的安全控制环节。

为了解决这个问题，安全厂商可以在企业组织中部署基于数字证书的认证，逐步淘汰那些烦人的用户名和密码认证。如果企业中的员工通过云或其他面向互联网的应用软件访问办公应用，安全厂商可以帮助企业建立免密码和双因素认证支持，这样员工对零信任方案的接受度将会提高。

这样，企业高层在找到员工对零信任方案初步实施的认可后，更愿意为其他更复杂的零信任项目提供资金支持。

5.可信安全厂商能否帮助企业用户实现全球数据安全保护？

构建零信任解决方案的核心目的是确保企业数据资产的安全，防止非法访问和窃取。如果不能实现全局的数据安全保护，零信任安全建设将变得毫无意义。要解决这个问题，零信任安全厂商应该从发现数据资产入手。首先，他们应该帮助企业检查数据资产，了解企业中有哪些数据，它们存储在哪里，以及如何跟踪它们。然后，需要确定哪些数据是数据敏感，制定数据分类管理，同时对这些数据资产进行跟踪保护和自动管理。

6.零信任安全厂商能否帮助用户建立精细化的安全访问控制策略？

零信任概念的目的是，在被完全验证之前，企业中的任何人都将被视为不信任。然而，许多安全供应商在为企业组织建立和实现精细的安全访问控制方面做得不好。零信任安全供应商在帮助企业实现零信任解决方案时，需要知道企业的最终用户是谁。哪些用户可以登录？这些用户登录后有什么权限？例如，企业中负责应收账款管理的员工每月只能在支付账单时访问一次特定文件夹。

7.零信任安全厂商能否通过微隔离等技术帮助用户减少企业网络的攻击面？

网络隔离技术已经存在很久了，但是零信任把这个概念推到了一个更精细的层次，即微隔离。在零信任网络中，安全厂商需要有能力帮助企业组织围绕单个终端或单个主机系统创建段，能够绝对控制企业内部员工的访问行为。

比如，以前整个人力资源部门可能在同一个网段，但是安全厂商在企业内部实施微隔离后，人力资源主管和部门其他员工可能有自己的网段，定义良好的防火墙规则可以指定他们能做什么，不能做什么。如果企业组织想要采用微隔离，就需要安全厂商具备非常强的网络配置和控制能力。

8.零信任安全厂商是否具备快速可靠的系统应急响应能力？

如果没有100%的安全性，网络安全系统也会出现故障。一旦用户企业的身份安全管理系统或其他零信任安全设施发生故障，安全厂商不仅要考虑单点故障本身的修复，还要考虑可能发生的更广泛、更连锁的安全风险，因为导致这些单点故障的安全事件可能包括有针对性的黑客攻击、员工的恶意行为等隐患。当事件发生时，安全供应商应该能够帮助企业全面分析失败的原因。有没有被曝光企业组织的账户信息？会不会导致非法第三方访问？有没有外部攻击者通过横向移动绕过零信任的防御策略？

针对突发的安全事件，安全厂商应尽可能全面地考虑企业的零信任解决方案，并制定完善的补救策略。安全厂商要帮助企业定期组织应对安全事件的演练，确保企业在安全事件发生后第一时间知道如何最有效的应对，最大程度的减少企业的损失。