Rámec zabezpečení Zero Trust Security je založen na konceptu nedůvěřovat ničemu a ověřovat vše. Potvrzuje, že organizace musí ověřit a autorizovat každého uživatele nebo zařízení, které se interně nebo externě připojuje k síti, než jim udělí přístup k jakýmkoli datům nebo aplikacím. Jedná se o zásadní posun od tradičních metod zabezpečení hradních a příkopových sítí, které se primárně zaměřily na zabezpečení perimetru a ve výchozím nastavení důvěryhodná připojení, která prošla perimetrem, aby se volně pohybovaly po celé síti.
Perimetrové přístupy k kybernetické bezpečnosti nechávají organizace zranitelné vůči škodlivým činitelům, kteří získávají přístup ke všem aplikacím a prostředím v síti. Zero Trust zajišťuje tento boční provoz. Laterální pohyb představuje metody, které útočníci používají k navigaci v síti při hledání cenných aktiv a dat. Tento model vyvinul hlavní analytik ve společnosti Forrester Research Inc. John Kindervog v roce 2010.
Nejméně oprávnění přístup
Model Zero Trust se opírá o základ přístupu s nejmenšími oprávněními, který uznává, že důvěra je zranitelností. To znamená, že uživatelé a zařízení mohou získat přístup k síťovým prostředkům, které potřebují, pouze na základě přiřazených oprávnění. Ověřování a autorizace každého uživatele a zařízení minimalizuje vystavení citlivým datům a zajišťuje boční provoz v síti.
Mikrosegmentace
Jádrem Zero Trust Security je mikrosegmentace. Tato metoda zahrnuje rozdělení sítě na softwarově definované segmenty a definování zásad správy pro každý segment na podrobné úrovni. Zásady jsou definovány podle totožnosti uživatele a funkcí zařízení, aby jim zabránil v přístupu k jednomu segmentu sítě bez samostatného ověřování a autorizace. Mikrosegmentace snižuje celkovou plochu útoku a omezuje schopnost škodlivých útočníků pohybovat se bočně do různých zón v celé síti.
Mikrosegmentace také zlepšuje detekci a reakci na hrozby. Když jsou zjištěna porušení zásad, softwarové nástroje pro mikrosegmentaci odesílají výstrahy v reálném čase a blokují neautorizovaná připojení, aby mohli správci systému jednat rychle a napravit případná porušení.
Technologie Zero Trust
Rámec nulové důvěryhodnosti také spoléhá na různé technologie pro vynucování autorizace bočního provozu. Tři z nejdůležitějších jsou brány firewall nové generace, nástroje pro vícefaktorové ověřování (MFA) a správu přístupu k identitě (IAM).
Brány firewall nové generace používají virtualizační technologii k vytvoření hranic mezi síťovými segmenty, které uživatelé a zařízení potřebují k průchodu.
Vícefaktorové ověřování rozšiřuje schopnost ověřovat uživatele vyžadováním pověření, jako je uživatelské jméno a heslo, a také jedno nebo více dalších ověřovacích opatření, včetně biometrického ověřování nebo jednorázových hesel (OTP).
Správa přístupu k identitě poskytuje možnost přiřadit oprávnění uživatelům a zařízením, která se používají k ověření přístupu k jednotlivým segmentům sítě.