Zero Trust模型首次由ForresterResearch于2010年與美國國家標準與技術研究院(NIST)合作推出，雖然成為今年的關注焦點但卻不是一個新概念。零信任模型不是使用“信任驗證”的傳統指導方法，而是將“永不信任，始終驗證”作為其指導原則。零信任模型基于以下三個支柱：

確保所有資源安全地訪問，無論處在任何位置(換句話說，不再有受信任區域)。

應用最小權限策略，并嚴格執行訪問控制。在Zero Trust中，所有用戶最初都是不受信任的。

檢查所有流量并記錄。即使源自LAN的流量也被認為是可疑的，并且被記錄和分析，就像它來自WAN一樣對待。

零信任的行業動力

零信任模型自成功推出以來，零信任及其概念的優勢已經悄然發生了重大變化。如今，很多企業組織正在使用Zero Trust來推動安全戰略計劃，并通過檢測和響應使業務決策者和IT領導者能夠實施務實的預防措施。

零信任如今是網絡安全行業的熱門話題，許多思想領袖都站出來使用它來定位和推銷他們的產品，是指導他們設計產品的未來路線圖。最近幾項并購交易甚至受到零信任概念影響，將該功能納入收購方技術組合的愿望(例如，思科以23.5億美元收購Duo Security，Okta 收購ScaleFT)。雖然非所有的安全分析公司都使用相同的Zero Trust命名法，但包括Gartner(推廣CARTA術語，適應性，風險和信任評估)大多數，451研究機構和KuppingerCole都采用零信任方法來解決當今的威脅問題。

此外，Zero Trust已經從一個概念發展成為越來越多的企業和政府機構正在使用的安全框架。根據IDG 2018年安全優先事項調查顯示，71%的以安全為中心的IT決策者都了解零信任模型，已有8%的人在其組織中積極使用它，10%的人開始試用它。

零信任之路始于身份

實施Zero Trust不需要對現有的網絡架構(如Google執行的架構)進行全面的重新設計，可以通過逐步修改當前的基礎設施來實現。從技術角度來看，Zero Trust框架包含旨在保護網絡、數據、工作負載、人員/工作人員和設備的各種組件，同時提供對安全威脅的可見性、自動化和協調修復以及通過API進行互連。

一個驅動原則應該是網絡攻擊者訪問敏感數據的最簡單方法是破壞用戶的身份。事實上，根據Forrester Research的調查數據，80%的安全漏洞涉及特權憑證。Gartner表示，65%的企業存在允許不受限制、不受監控和共享使用特權帳戶等問題。

在組織開始實施以身份為中心的安全措施之前，帳戶泄密攻擊將繼續為數據泄露提供完美的偽裝。對于大多數組織而言，Zero Trust的路徑應該從身份開始。實際上，Gartner建議將Privileged Access Management放在組織的安全項目列表之上。承認網絡中已存在不受信任的參與者，涉及基于授予最小特權訪問權限而轉向安全模型。此零信任權限方法實現以下元素：

驗證用戶是誰

將特權訪問請求上下文化

建立安全管理環境

授予最低權限

審核一切

應用自適應安全控件

最終，Zero Trust挑戰并消除了傳統安全措施中固有的信任假設，這些措施使組織容易受到外部和內部攻擊。由于特權訪問濫用是當今漏洞的首要因素，考慮零信任模型的組織應該通過投資身份相關技術開始他們的零信任網絡安全旅程。