简单地说,零信任要求对试图访问网络的每个用户和设备进行验证,并实施严格的访问控制和身份管理,以限制授权用户仅访问完成其工作所需的那些资源。
零信任是一种架构,因此有许多潜在的解决方案可用,但本文只讨论那些适合网络领域的解决方案。
最小特权
“零信任”的一个广泛原则是“最低特权”(least privilege),即允许个人获得仅够完成其工作的资源,仅此而已。实现这一点的一种方法是网络分割,它根据身份验证、信任、用户角色和拓扑结构将网络分割为未连接的部分。如果实施有效,它可以隔离一个主机在一个区段上,并最小化其横向或东西向通信,从而限制“爆炸半径”的附带损害,如果一个主机受到损害。由于主机和应用程序只能访问它们被授权访问的有限资源,分割可以防止攻击者在网络的其他部分获得立足点。
实体被授予访问权限和访问资源的授权是基于上下文的:个人是谁,用于访问网络的设备是什么,它位于哪里,它是如何通信的,以及为什么需要访问。