很多零信任项目失败，原因是很多人误解了零信任

虽然零信任概念已经诞生15年了，但它常常被误解，也未被充分重视。

零信任最早由时任Forrester分析师的John Kindervag提出，作为一种取代过时边界安全模型的策略，核心理念是"永不信任，始终验证"。但从理念到实践，这条路并不好走。

埃森哲报告显示，88%的组织在实施零信任时遇到了重大挑战。Gartner的一项调查指出，35%尝试过零信任的受访者遭遇了对组织产生不利影响的失败。报告直言："Gartner观察到大量零信任项目的失败案例，这些用户缺乏战略性且可衡量的计划。"

在去年的DefCon 33大会上，英国安全研究机构AmberWolf对三家厂商的零信任网络访问（ZTNA）产品进行了漏洞挖掘。"事实证明，根本不存在什么神奇的ZTNA魔豆，我们看到的还是同一类旧漏洞，只是换了一个新技术栈。"BeyondTrust首席安全顾问Morey Haber如此概括2026年的零信任现状："我们都同意零信任是必要的，但实施起来非常困难。"

以下是围绕零信任的常见迷思与误解，以及如何避开这些陷阱。

迷思一：零信任是产品

即便15年过去了，关于零信任到底是什么仍然存在相当大的混淆——有人说是战略，有人说是哲学，有人说是概念，还有人说是思维方式和架构。

自称"零信任博士"的Chase Cunningham直言："安全不是产品，而是策略、流程和执行的结合。零信任不仅仅是架构，它是一种思维模式。根本不存在所谓的零信任产品。"Haber也赞同这一观点："有厂商声称销售'零信任'产品，这具有误导性。产品实现的是安全控制，但产品本身并不体现零信任原则。"他警告说，即使厂商声称其远程访问方案实现了零信任原则，他见过的最好情况也只覆盖了所需控制的10%到15%。

迷思二：零信任是技术

德克萨斯大学CISO、两本零信任书籍的作者George Finney指出，零信任不是技术。换句话说，它不是用来阻止攻击者横向移动的微分段，也不是控制谁有权访问企业资源的基于策略的身份管理——这些只是帮助实施零信任的工具和手段。

零信任的核心是一种关于风险的思维方式，需要打破安全团队、网络团队、业务部门、合规和风险管理之间的孤岛。Kindervag定义的零信任第一支柱是识别组织中最高优先级的保护面。如果组织不清楚自己的"皇冠宝石"是什么，零信任项目就不可能成功。第二支柱是映射与关键保护面相关的交易流，这在当今多云环境中尤为重要。

Finney表示："归根结底，让零信任变难的并不是技术问题，而是人、文化和政治问题。"

迷思三：零信任成本高昂

Finney认为零信任不一定要花费巨资。以下是不需要购买任何东西就能推进零信任的关键步骤：识别高价值保护面、组建零信任团队、开展教育、制定战略、定义架构、制定和应用策略，以及充分利用现有工具。

大多数组织已经部署了多因素认证、单点登录、身份管理、网络管理、Web应用防火墙等，关键是将现有技术整合对齐，并识别需要新工具的缺口。针对AmberWolf关于攻击者总能找到漏洞的观点，零信任倡导者回应称，零信任本身就意味着纵深防御。即使存在漏洞让攻击者获取了终端用户凭据，仍有多层安全控制（如事件检测、微分段、会话监控、敏感数据防泄露等）在起作用。

迷思四：零信任难以实施

零信任并不一定难，前提是组织遵循NIST、大量书籍和专家提供的广泛指导。Finney建议从小处着手，展示快速成果。零信任无法一次性在整个大型组织中铺开，需要有针对性的、系统化的策略。首选方法是从高价值保护面开始，以协调一致的方式应用支撑整体架构的工具。

Gartner指出："缩小零信任项目的范围对于在可行时间框架内实现零信任态势至关重要。许多组织将初始阶段的目标设得过大，包含过多系统、应用、用例或数据集，导致可扩展性和成本挑战，以及项目周期过长。"

迷思五：AI打破了零信任

企业正在竞相部署生成式AI并释放半自主的AI智能体。这个由黑盒大语言模型和非人类身份组成的新世界引发了担忧：零信任是否已过时？领先的零信任倡导者正在反击。"在AI时代，零信任比以往任何时候都更重要，"Finney说，"零信任是战略，我们不会因为AI出现就改变战略。AI恰恰证明了这一战略的重要性。"

Kindervag也认为："AI没有改变零信任的基本原理，反而强化了它们。零信任是让你安全拥抱AI的战略。没有严格的微分段、策略执行和数据流控制，AI就会变成另一个等待被利用的软肋。"

迷思六：没有衡量成功的方法

任何寻求董事会和高管支持的项目都需要通过某种指标来证明自己，零信任也不例外。Gartner建议团队使用结果驱动的指标，将零信任计划直接与业务目标挂钩——聚焦于减少入侵事件、提高合规率和增强运营效率等成果。

迷思七：零信任项目有完成日期

"零信任更关乎旅程而非终点，"Finney表示。组织在不断发展，攻击者也在演变。"零信任是战略，战略永远不会完成。"Kindervag的零信任最后一个支柱是监控和维护——确保访问控制策略不被违反，同时跟上不断变化的业务需求。

回顾过去15年的演变，Finney对工具的显著进步感到鼓舞。如今团队可以将AI和机器学习应用于异常检测、事件检测与响应等功能，还可以自动化网络监控和策略执行等任务。"总的来说，我持谨慎乐观态度，"Finney说，"但工作远未完成，我们仍需不断前进。"