时至今日，关于“零信任”概念仍然存在种种定义层面的误解与争议。零信任不是一种产品或者平台，而是一种强调“永不信任、始终验证”以及“谁违规、谁担责”原则的安全框架。

　　因此，任何指望直接购买“零信任产品”的组织，都必然遭遇失败的命运。

　　供应商总有不计其数的销售手段，特别善于把自己的安全解决方案、平台甚至是功能部件描述成“零信任”的代表。似乎只要买了他们的产品，您的安全需求就能得到满足。但这显然是种误解，而且那些把“零信任”喊得特别响亮的安全厂商，自己都没能做到零信任。

　　01 不存在快速实现零信任的捷径

　　零信任的实现道路复杂且漫长，甚至很难定义明确的起点。为了给大家带来一点启发，本文希望从实现角度整理出一份实现零信任的方向指引。首先，千万不要指望买下某些产品就能马上实现零信任——根本就不可能。

　　组织需要制定达成零信任架构的战略，这套架构的涵盖范围应该超越纯技术与宣传流行语。零信任扩展（ZTX）生态系统就是个典型示例，这样的生态系统至少需要：

　　评估现有安全程序的“零信任”成熟度（人员、技能、技术、能力等），包括理解人们的工作方式、现有业务流程的实现方式、与现有技术能力的映射状态以及欠缺之处。

　　将成熟度评估结果与ZTX框架映射起来，了解组织在哪些方面表现出色、在哪些方面仍有不足，然后梳理出需要改进的部分。

　　考虑引入新的工具与技术改进这些不足，并将零信任战略引入现有业务、IT以及安全项目当中。

　　02 零信任不是某个工具或平台，而是一种安全框架

　　ZTX是一种同时囊括技术与非技术部分的生态系统。传统方案中的明确保护边界与安全实施策略往往不够灵活，大多由彼此隔绝的单体式解决方案设计而成。与之相反，零信任更多强调持续进行的安全审查与安全态势优化。

　　零信任的这种灵活性与集成性，帮助企业轻松适应业务变化。但企业对于安全厂商的宣传内容应保持审慎，深入了解产品的具体细节，并及时发现其中太过完美、不够可信的描述与承诺。

　　要求安全厂商解答关于产品的问题，例如他们展示的功能该如何嵌入ZTX生态系统。如果得不到答案，对方很可能根本就不了解零信任的本质。无论具体回应如何，安全厂商都至少要承认这样一项事实：零信任在不同的组织内对应不同的流程，任何一款现成产品都不可能一夜之间实现零信任。这种将解决方案宣扬为实现零信任捷径的行为，完全就是虚假广告案例，最终也只会令客户身陷失败的泥潭。

　　03 零信任不是一场冲刺，而是一段漫长的旅程

　　拨开炒作与虚假宣传的迷雾，我们最终还是要把零信任引导落地。零信任应该是一种新的常态。

　　COVID-19疫情大大改变了我们的工作方式，并迫使众多组织加快自身数字化转型与安全策略。通过认真研究这些安全解决方案是否适合ZTX生态系统中的各项原则性支柱，特别是能否匹配组织内的整体零信任战略，我们才能准确判断安全厂商的产品到底靠不靠谱。

　　总而言之，安全产品应该帮助组织在改善员工体验的同时达成“零信任”，而不只是业务发展道路上的又一块打着“保护”旗号的顽石。