亚太地区的零信任采纳步伐开始加快，如何着手部署零信任？

尽管零信任（ZT）已是美国和欧洲主流安全方法，但在亚太地区（APAC）才刚刚开始是兴盛。为什么是现在呢？因为全球新冠肺炎疫情加速了云迁移和远程办公，同时，公司企业正努力应对快速更新的监管规定和消费者施加的数据隐私压力。各种趋势作用下，亚太地区的企业主管不得不采取新的安全方法，加速零信任采纳。现在正是拥抱零信任的好时机，而且可以向全球同行和其他已踏上零信任旅途的人取经。

亚太地区零信任采纳开始加速 

零信任（Zero Trust）是一种架构模型，综合运用微边界、微分隔和其他关键功能，更智能、更有策略地提升企业和机构的安全态势。通过混淆、限制过高用户权限的相关风险，以及采用数据分析和自动化大幅改善安全检测与响应，零信任可以有效提升数据安全。佛瑞斯特研究公司在2009年提出了零信任的概念，并逐渐推广成为主流安全模型。2020年8月，美国国家标准与技术研究院发布零信任架构标准；美国联邦政府，包括美国国防部，都将零信任作为其长期安全策略的关键部分。 

亚太地区的企业和公共事业实体正在探索选用零信任安全架构的益处： 

虽然未必冠以零信任之名，但亚太地区的企业正逐渐采纳零信任架构。这些地区的CISO正在实现身份与访问管理、微分隔等零信任框架的部分元素。很多CISO认同零信任的指导原则，比如“从不信任，总是验证”。但名正言顺地完全采纳还很少见，不是每个人都准备冒险尝试不一样的东西。 

亚太地区的CISO看到了零信任的业务优势，供应商正积极上市帮助实现零信任架构。亚太地区37%的首席级安全决策者将自身环境的复杂性视为主要挑战。零信任可帮助企业合理化安全投资并降低复杂性。CISO也逐渐开始利用零信任框架协调利益相关者达成共同原则，提升协作程度。而且，尽管供应商方面经常被诟病过度炒作，但在零信任概念上，许多人确实在推动大众对零信任优势的认识和了解。 

地区问题影响采纳 

亚太地区的CISO处在不同的采纳阶段，从“我们正在学习”到“零信任是重点策略，我们正在实现”。这种差异导致难以设定标准、全地区推广采纳、商定同一套词汇，以及共享经验教训。亚太地区CISO面临的一些挑战如下： 

相对较小的安全功能，在企业内影响不大。亚太地区29%的首席级决策者称自己在可见性和影响力方面艰难前行，而北美只有13%这么认为。19%的CISO将缺乏安全人手列为主要挑战。甚而，即使有足够的人手管理大规模实现，亚太地区的CISO也很可能难以得到高层支持和所需的预算。 

零信任中的“零”与基于信任的很多文化相冲突。由于信任在亚太地区的很多文化中举足轻重，“零信任”这个命名多次成为该架构在亚太地区的采纳阻碍。别回避命名问题。承认公司和利益相关者持有的许多切实顾虑，通过教育和培训克服这些顾虑。要向利益相关者阐明零信任如何通过强化安全打造客户对公司的信任。创建引人入胜的零信任内容，远离过度炮制的安全演示和技术演讲。关注影响和可能性，而非恐惧、不确定和怀疑。利用游戏化之类的技巧沟通信息，采用“信任始于零信任”这样的句子。 

拥抱零信任，打消自身和利益相关者的顾虑 

在亚太地区实现零信任比在其他地区实现需要更多的前期准备，其他地区的零信任采纳开始较早，也有更多的先驱者可以取经。尽管亚太地区尚未有哪个政府将零信任作为其网络安全机构的框架，但澳大利亚政府用于评估安全成熟度的“基本八项”（Essential Eight）对应了零信任框架的部分元素。不妨从评估当前零信任状态的成熟度开始绘制您的零信任路线图，记录哪些现有功能可以重用，设置未来状态的各个目标。根据经验，很多企业和机构已经具备了实现零信任的关键能力。实现零信任不像听起来那么难。现在就是行动起来的好时机。 

佛瑞斯特研究公司预测，到2021年，亚太地区至少会有一个政府采用零信任网络安全框架。更多亚太地区预测的相关信息，可下载《2021亚太地区预测》。

佛瑞斯特研究公司《2021亚太地区预测》：（点阅读原文查看报告）

https://go.forrester.com/predictions-2021-asia-pacific/?utm_source=zdnet&utm_medium=pr&utm_campaign=predictions_2021_apac

关键词：零信任；亚太地区