似乎信息安全领域的每个人都在谈论零信任架构(ZTA)。当然也包括我。我发现，大部分这样的对话有两种形式。有些人对我说：“哦，我们已经使用零信任许多年了。”另一个极端是，我听说“ZTA太复杂了；我们正在花时间研究它是否适合我们。”

第一种回答的问题是，在我参与的每一次讨论中，演讲者真正想表达的是，他们试图将用户的访问权限限制在执行其工作所需的最低限度(即，最小特权)。这是朝着正确方向迈出的一步，但他们没有采取任何措施来防止其环境中的横向移动，也没有对其网络进行隔离以将隔离映射到特定的用户群体(即微隔离)。这是ZTA实施最小特权的两个关键支柱。

对于后一种情况，我认为他们的实际意思是，他们正在努力为未来的安全产品采购寻找财务依据。这是一个合理的担忧，但随着越来越多的供应商宣布他们的产品支持了零信任，唯一的问题是他们何时会利用该结构。

那么，为什么我听到的关于ZTA的讨论比我实际看到的实施更多呢？在之前的一篇文章中，我对“零信任”这个词本身表示不满。在本文中，我想讨论一些阻碍ZTA的实质因素。

不安全的身份

零信任的基本前提是，用户每次尝试访问信息资源时都必须进行验证，而不仅仅是在他们登录点时进行验证。这背后的假设是，经过身份验证的标识符可以与授权资源相关联。但是，如何保证输入该标识符的用户(可能是也可能不是人类)真的是它声称的实体呢？

尽管此类盗窃行为的发生率尚不清楚，但利用被盗凭证进行网络攻击的情况已被广泛报道。我们可以这样说，如果标识符的有效性受到质疑，则访问权限的验证是无效的。在某种程度上，多因素身份验证(MFA)解决了这一问题，但有太多使用被盗凭证的案例可以忽略这个问题。

过度授权

即使用户的身份有效，该用户是否应该有权访问所请求的资源？如果用户已被授权这样做，那么答案就会为“是”。但是，关于ZTA的文献在授予、通信和强制实施访问权限的过程中基本上没有提及，只是假设授权已经发生。授权程序被视为保护程序之外的程序，尽管保护取决于授权这一事实。但在我看来，这是一个必须解决的问题。

授权本身需要改进，因为根据我的经验，授权者很少或根本没有正式的指导。在许多情况下，被指定的管理人员，也被称为数据所有者，渴望为自己提供最大的灵活性，因此不愿限制他们的员工可以做什么，或者更重要的是，不能做什么。

此外，随着个人在组织中的职业发展，他们被授予访问当前职位所需资源的权限，但当他们进入下一个职位时，这些资源通常不会被回收。随着时间的推移，这些人可以访问他们不需要(或时不应有)的数据和交易。

薄弱的数据管理

只有当组织知道他们拥有什么数据、数据是什么样子以及数据在哪里时，限制对数据和事务的访问才有意义——换句话说，就是能够管理他们的数据。一些企业拥有有效的数据管理能力，但根据我的经验，这仅限于大公司和政府机构。显然，托管数据是小型组织负担不起的奢侈品。

ZTA可以防止数据被滥用，但它无法保护无人知晓的数据。关于个人身份信息(PII)，这尤其是一个难题。姓名、地址、电子邮件地址或电话号码等字段通常从其主要数据库中提取、复制、传输和复制，以用于专门用途。如果不知道这些替代文件的存在，那么数据管理者(以及安全管理者)几乎无能为力。

对应用的不完全了解

正如许多组织不知道他们的数据一样，许多组织也不知道他们拥有什么应用软件。当然，他们知道自己最常用的应用程序。但他们是否知道哪些内容仅在特定时间由有限数量的用户使用？许多应用系统的先前版本和升级可能已经保留了很多年，因为“你永远不知道”。还有一些是业务部门获取的，但不了解信息安全功能。有一个只有卡尔(Karl)知道如何维护的应用程序，但他在七年前已经辞职了。

过时的软件并不是一个新问题。问题在于，与生产软件受到攻击相比，对这些程序的恶意访问不太可能被注意到，但这些被遗忘的软件可以被利用为通往当前版本或数据本身的途径。

一切的一切

从上述所有内容来看，人们可能会认为，作者认为这些障碍太大了，无法克服。但事实并非如此。关于ZTA，我不是悲观主义者，而是一个现实主义者。是的，ZTA的实施并不容易，有需要克服的障碍。

请注意，在我提到的四个抑制因素中，其中两个(不安全的身份和过度的授权)并不是唯一的零信任问题。自从我参与信息安全以来，我们就一直面临着它们，它们并没有阻止我们继续前进。第二个问题(薄弱的数据管理和不完整的应用知识)是信息技术继承的冲击。如果我们等到解决这些问题之后才获得信息资源，那么我们就毫无安全可言。

推迟实施一个显然是迄今为止设计得最好的安全体系结构，也就是说，如果一个人不能拥有他想要的一切，那么什么都没有更好。我认为，这种态度是非常幼稚的；这是弄巧成拙的。我之所以这样说，是因为在我的职业生涯中，我看到信息资源安全面临的许多威胁得到了缓解，但并未完全克服。计算机病毒长期以来一直是一个众所周知的问题；防病毒软件还没有解决这个问题（无论这意味着什么），但我们仍在继续计算。密码长期以来一直被认为是弱保护，但我们仍然使用它们，并且 MFA 提高了其有效性。

所以，继续ZTA道路上前行吧。道路未铺好，前方可能有路障。但到达那里是我们大家热切期盼的圆满结局。

编者注：本文出自ISACA Journal 2024年第3期。尾注略。文章内容仅代表作者本人观点。

作者：STEVEN J. ROSS ， CISA, CDPSE, AFBCI, MBCP，是国际风险大师有限责任公司的执行董事。自1998年以来，他撰写的栏目一直是《华尔街日报》最受欢迎的专栏之一。罗斯于2022年入选ISACA® 名人堂。

翻译：王彪，COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSGI、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家

校对：唐四宝（Jerry Tang），CISA， CDPSE，CZTP，ISACA微信公众号特邀通讯员。