标准网络安全态势专注于阻止来自网络边界以外的威胁,但无法防范网络内部的盗窃行为。它通过防火墙、VPN、访问控制、IDS、IPS、SIEM 以及电子邮件网关实施安全保护。然而,网络罪犯现已熟知如何攻破这些边界安全措施。这意味着,只要拥有正确的凭据,任何人都可以访问任意网络的站点、应用或设备。而在零信任安全方法下,无论是来自网络内部还是外部,任何人都默认不被信任。零信任方法要求对请求访问资源的每一位用户进行验证,即验证用户身份,对系统、网络和数据访问进行监管。这一过程包括验证用户身份和用户对特定系统的访问权限,可帮助企业有效管理用户的数字身份,确保正确访问。为了加强验证,零信任方法还通过多层高级访问控制,对网络设备和服务器访问进行管理。最后,零信任方法支持企业跟踪用户活动,创建用户活动报告,实施适当的策略来确保合规。
以下是美国国家标准技术研究院 (NIST) 定义的零安全架构原则:
所有数据源和计算服务均视为资源。无论网络位置如何,所有通信都是安全的 — 网络位置不影响信任关系。针对单个企业资源的访问,每连接一次,授予一次访问权限;在授予访问权限前,对是否信任请求者进行评估。是否授予资源访问权限由策略决定,包括用户身份和请求系统的可观察状态 — 可能还包括其他行为属性。企业确保所有的自有系统和相关系统处于可实现的最安全状态,同时监测系统,确保系统始终处于可实现的最安全状态。授予访问权限前,动态、严格执行用户身份验证;这是一个扫描和评估威胁、做出响应、连续验证身份的连续过程。