很多公司忽视零信任安全的核心原则：假设网络已经受到攻击。

企业管理协会（EMA）的研究发现这个被忽视的零信任原则带来的暗示。在2024年11月关于零信任如何帮助网络团队支持网络安全的报告中，EMA调查了270名企业零信任决策者和专家。受访者确定了他们零信任方法中最有影响力的因素。

受访者表示，很多零信任倡议强调确保远程网络访问，而不是减少横向移动。超过63%的受访者表示，他们专注于使用零信任来消除未经授权的远程访问。超过60%的人表示，他们在决定部署零信任时考虑了性能和用户体验的影响。相比之下，只有43%的人表示他们使用零信任来消除网络上的横向移动。

零信任的核心优先事项

在关于零信任架构的特别出版物中，NIST提出3个重要的零信任倡议，以防止未经授权的用户的攻击：

1. 认证。
2. 授权。
3. 缩小隐性信任区域。

零信任应严格验证和授权网络连接请求，以防止未经授权的访问。它还应该通过缩小信任区来消除横向移动，同时尽量减少对网络体验的不利影响。

这些优先事项与NIST的建议非常一致。NIST关于最小化信任区的建议假设网络已经受到攻击。如果零信任架构忽视限制横向移动的原则，则最终无法降低安全风险。例如，由于以下原因，基于边界的安全被证明越来越无效：

• 企业现在通常将云服务和互联网等公共资源整合到企业网络中，从而将网络扩展到传统边界之外。
• 恶意行为者有更多的机会通过社会工程和零日漏洞来突破边界。

EMA的数据表明，当IT和安全团队仅关心的用户身份验证和访问授权时，他们不会检查网络外围内的事件。43%优先考虑消除未经授权的远程访问的受访者报告说，他们的零信任努力总体成功率较低。他们未能升级他们的网络分段方案，以缩小信任区，并减少横向移动的机会。

ZTNA营销问题

零信任应该如何运作和大多数公司如何使用零信任之间的脱节，主要是由于营销问题。零信任通常强调它是一种架构概念，而不是公司可以购买和安装的产品。但供应商销售的是产品，而不是架构。

很多销售零信任网络访问（ZTNA）产品的供应商声称，他们的服务将通过取代传统的安全远程访问技术（如VPN）为企业带来零信任安全性。VPN仍然很常见，但随着采用率的增长，很多企业正在向ZTNA过渡。

这些产品的营销表明ZTNA与零信任原则保持一致，但情况并非如此。企业仍然必须努力减少其网络内的信任区，因为ZTNA产品很少影响内部信任区。零信任是一段旅程，而不只是购买产品。

部署零信任分段

企业可以通过各种方式在网络范围内实施零信任分段。一种方法涉及使用网络安全设备作为东西向网关。这些网关具有限制网络段之间的横向通信的精细策略。然而，这种方法通常很难管理。

另一种选择是寻找新兴的供应商类别，这些供应商在数据中心和云端提供基于虚拟机管理程序的叠加层，以及在服务器或客户端设备上提供基于主机的分段代理，以实施微分段。尽管这种方法有一个中央控制器，但鉴于网络的动态性质，操作可能具有挑战性。

根据38%的EMA受访者的说法，他们的零信任分段机制中的大量变化和例外情况显著消耗他们的资源。此外，26%的人报告说，他们发现非常难以设计和部署零信任分段。横向流动的问题并不是忽视的问题——企业确实发现很难实施零信任分段。

尽管如此，这只是零信任原则的表面。身份验证、授权和减少信任区域并不是唯一需要考虑的因素。零信任还必须包括身份服务现代化，以及对网络活动和用户行为的持续监控和分析。

零信任行业必须应对这些挑战，以确保企业尽量减少横向移动。此外，缓解零信任营销确保企业能够解决所有零信任原则，而不是实施一半措施。