根據IDG公司發布的《2020年安全優先級研究》報告，人們對零信任的興趣正呈激增趨勢：40%的受訪者表示他們正在積極研究零信任技術，而2019年這一比例僅為11%；18%的企業組織表示他們已經擁有零信任解決方案，這一比例是2018年（8%）的兩倍多；另有23%的受訪者計劃在未來12個月內部署零信任解決方案。

　　但知名研究機構Forrester分析師Steve Turner指出，在他最近與一些企業客戶的溝通中發現，高達50%-70%的人完全誤解了零信任的基本概念和原則，因為營銷炒作已經完全掩蓋了零信任的真實面目。他進一步補充道：“當我們將他們拉回現實，并告訴他們有關零信任的誤區時，他們才意識到零信任并不是想象的那般安全?！?/p>

　　以下是有關零信任的一些常見“神話”和誤解：

　　誤解1：零信任解決了技術問題

　　事實上，零信任不能解決技術問題，它解決的是業務問題。Turner表示，“安全負責人要做的第一步是坐下來了解企業需要解決的業務問題是什么。”創建了零信任模型的Forrester前分析師John Kindervag也強調關注業務的必要性，并建議企業首席信息安全官（CISO）讓業務團隊參與進來。

　　誤解2：零信任是一款產品或一組產品

　　關于零信任的一個常見誤解是，如果企業部署了身份管理、訪問控制和網絡分段，那么就已經成功地實現了零信任。托管安全服務提供商ON2IT網絡安全策略高級副總裁Kindervag解釋說，“零信任并不是一款產品或一套策略，而是一項旨在阻止數據泄露的戰略舉措，一套用于構建安全技術環境的原則?！?/p>

　　埃森哲公司CISO Kris Burkhardt補充道，“沒有人能夠向企業出售零信任解決方案。如果企業想通過簡單購買一款產品來獲取零信任，那顯然是跑偏了。”

　　Turner表示，他一直在與一些客戶溝通，這些客戶在購買一款產品時需要廠商承諾它是零信任的，但他們并沒有改變任何做法，例如：沒有對數據進行分類；仍然存在過多特權員工、供應商和承包商；沒有識別關鍵資產或改變網絡流量等。

　　誤解3：零信任意味著不信任自己的員工

　　Kindervag解釋稱，零信任解決方案的目的不是讓系統受信任，而是要從IT系統中消除信任的概念。他說，“信任是一種在數據泄露時最常被利用的漏洞，我們并不想讓系統受信任。”這一點有時會被誤解為企業不信任員工，CISO需要解釋這并不是針對個人的行為，這只是相當于員工需要一張門禁卡才能進入大樓。其最終目標是防止數據泄露，因為它會影響到企業的每個人。

　　誤解4：零信任很難實施

　　Kindervag駁斥了零信任很難實現的說法。他指出，“這是那些不希望企業這么做的人編造的謊言，他們甚至還稱零信任會摧毀其深度防御模式。”事實上，零信任并不復雜，當然也不會比企業已經采取的措施代價更高昂，因為企業沒有考慮進數據泄露的成本。Turner認為，現在實施零信任要容易得多：工具本身已經得到了改進，供應商正在開展跨產品線合作，因此企業可以不用過多投資，就能比以往更輕松地完成部署。

　　誤解5：開啟零信任之旅只有一種正確的方法

　　Turner表示，目前有兩種開啟零信任之旅的方法：安全方面和身份管理方面。一些企業從身份管理開始，并迅速部署多因素身份驗證，從而獲得最簡單、最快速的勝利。而其他企業則采取以網絡為中心的安全方法，首先解決微分段問題，這種方法可能更具挑戰性。

　　誤解6：部署SASE意味著“我有零信任”

　　最近，SASE（安全訪問服務邊緣）成為一種走向零信任之旅的流行方式，因為它是一種將安全控制置于云中的服務。然而，Turner指出，在疫情初期的混亂格局中，許多企業紛紛求助于SASE技術，以解決員工在家工作的緊迫問題。

　　雖然SASE解決了網絡邊緣的零信任問題，但隨著一些員工重返辦公室，企業組織意識到他們仍在使用傳統的外圍安全概念進行防護。Turner表示，“SASE解決方案并不是為混合工作模式構建的，企業需要重新開始規劃安全策略，并將零信任納入到企業安全戰略中?！?/p>