時至今日，關于“零信任”概念仍然存在種種定義層面的誤解與爭議。零信任不是一種產品或者平臺，而是一種強調“永不信任、始終驗證”以及“誰違規、誰擔責”原則的安全框架。

　　因此，任何指望直接購買“零信任產品”的組織，都必然遭遇失敗的命運。

　　供應商總有不計其數的銷售手段，特別善于把自己的安全解決方案、平臺甚至是功能部件描述成“零信任”的代表。似乎只要買了他們的產品，您的安全需求就能得到滿足。但這顯然是種誤解，而且那些把“零信任”喊得特別響亮的安全廠商，自己都沒能做到零信任。

　　01 不存在快速實現零信任的捷徑

　　零信任的實現道路復雜且漫長，甚至很難定義明確的起點。為了給大家帶來一點啟發，本文希望從實現角度整理出一份實現零信任的方向指引。首先，千萬不要指望買下某些產品就能馬上實現零信任——根本就不可能。

　　組織需要制定達成零信任架構的戰略，這套架構的涵蓋范圍應該超越純技術與宣傳流行語。零信任擴展（ZTX）生態系統就是個典型示例，這樣的生態系統至少需要：

　　評估現有安全程序的“零信任”成熟度（人員、技能、技術、能力等），包括理解人們的工作方式、現有業務流程的實現方式、與現有技術能力的映射狀態以及欠缺之處。

　　將成熟度評估結果與ZTX框架映射起來，了解組織在哪些方面表現出色、在哪些方面仍有不足，然后梳理出需要改進的部分。

　　考慮引入新的工具與技術改進這些不足，并將零信任戰略引入現有業務、IT以及安全項目當中。

　　02 零信任不是某個工具或平臺，而是一種安全框架

　　ZTX是一種同時囊括技術與非技術部分的生態系統。傳統方案中的明確保護邊界與安全實施策略往往不夠靈活，大多由彼此隔絕的單體式解決方案設計而成。與之相反，零信任更多強調持續進行的安全審查與安全態勢優化。

　　零信任的這種靈活性與集成性，幫助企業輕松適應業務變化。但企業對于安全廠商的宣傳內容應保持審慎，深入了解產品的具體細節，并及時發現其中太過完美、不夠可信的描述與承諾。

　　要求安全廠商解答關于產品的問題，例如他們展示的功能該如何嵌入ZTX生態系統。如果得不到答案，對方很可能根本就不了解零信任的本質。無論具體回應如何，安全廠商都至少要承認這樣一項事實：零信任在不同的組織內對應不同的流程，任何一款現成產品都不可能一夜之間實現零信任。這種將解決方案宣揚為實現零信任捷徑的行為，完全就是虛假廣告案例，最終也只會令客戶身陷失敗的泥潭。

　　03 零信任不是一場沖刺，而是一段漫長的旅程

　　撥開炒作與虛假宣傳的迷霧，我們最終還是要把零信任引導落地。零信任應該是一種新的常態。

　　COVID-19疫情大大改變了我們的工作方式，并迫使眾多組織加快自身數字化轉型與安全策略。通過認真研究這些安全解決方案是否適合ZTX生態系統中的各項原則性支柱，特別是能否匹配組織內的整體零信任戰略，我們才能準確判斷安全廠商的產品到底靠不靠譜。

　　總而言之，安全產品應該幫助組織在改善員工體驗的同時達成“零信任”，而不只是業務發展道路上的又一塊打著“保護”旗號的頑石。