Theo John Tolbert, nhà phân tích chính tại KuppingerCole, nhận dạng được coi là chính sách bảo mật chính của mô hình bảo mật zero-trust. Theo đó, mặc dù mô hình bảo mật zero-trust chắc chắn có thể áp dụng ở cấp độ mạng, nhưng chỉ có thể áp dụng cho khái niệm danh tính - cụ thể là xác thực và ủy quyền. Mô hình này đảm bảo rằng tất cả lưu lượng truy cập trong doanh nghiệp được xác thực và ủy quyền chính xác, cũng như biết cụ thể ai đang yêu cầu kết nối và kết nối nào được chấp nhận.
Nếu doanh nghiệp bắt đầu bằng cách kết hợp các khái niệm cốt lõi về quản lý danh tính ở cấp độ mạng, thì đó là lúc mô hình zero-trust hoạt động. Doanh nghiệp nên sử dụng bảo mật zero-trust và đặt ở phía sau tường lửa hơn là chuyển toàn bộ dữ liệu tài chính sang một mạng LAN ảo (Vlan) riêng biệt.
Vì vậy, phân khúc mạng và hiện đại hóa VPN đều là một khởi đầu tốt - bởi vì các tổ chức có thể lưu trữ dữ liệu nhạy cảm nhất vào các phân đoạn riêng biệt và tạo ra các đường hầm VPN hoặc IPsec giữa chúng sau đó xác thực lưu lượng ở hai bên.
Tolbert cho biết nguyên tắc đặc quyền tối thiểu cũng là cốt lõi của zero-trust. Áp dụng nguyên tắc này giúp người dùng chỉ tập trung vào những việc họ cần làm để hoàn thành công việc, nhưng trước đây, khi nhiều mạng công nghệ thông tin của các công ty được xây dựng, một tường lửa được đặt ở đường bao ngoài, nhưng tất cả các máy chủ và người dùng thì ở trên một mạng LAN phẳng.
Vấn đề là không doanh nghiệp nào suy nghĩ về các loại lưu lượng di chuyển giữa các máy chủ, vì vậy nếu người dùng có toàn quyền truy cập vào máy chủ trên mạng, họ có thể làm bất cứ điều gì vì không có kiểm soát truy cập cản trở.
Chặn mã độc hại
Từ đó, các tổ chức ngày càng hiểu rằng cần phải đặt nhiều quyền kiểm soát hơn để xác định và chặn các tác nhân gây hại trên mạng. Áp dụng nguyên tắc đặc quyền tối thiểu này đảm bảo rằng chỉ những người cần truy cập vào thông tin nhạy cảm mới được quyền truy cập vào máy chủ.
Mặc dù cách tiếp cận zero- trust sẽ không ngăn chặn tội phạm mạng đánh cắp thông tin. Tuy nhiên, những kẻ tấn công sẽ phải đánh cắp thông tin với số lượng lớn trước khi chúng có thể di chuyển xung quanh một mạng mà không bị hạn chế. Zero trust sẽ làm chậm quá trình đánh cắp thông tin và khiến những tên tội phạm mạng phải cố gắng nhiều hơn để truy cập dữ liệu, đặc biệt là các loại dữ liệu nhạy cảm nhất, thường sẽ yêu cầu mức độ xác thực cao không chỉ dựa vào tên người dùng và mật khẩu.
Nguyên tắc thiết kế Zero trust
Ngày càng nhiều nhà cung cấp công nghệ bảo mật tuyên bố sản phẩm của họ dựa trên nguyên tắc zero trust, tuy nhiên, zero trust có nguyên tắc thiết kế riêng và không thể đơn giản đạt được bằng cách mua các sản phẩm được dán nhãn như vậy. Triển khai mô hình zero trust bao gồm một số dự án bảo mật khác nhau và phải kết hợp nhiều phần như phân đoạn mạng, phát hiện và phản hồi mạng và phân tích lưu lượng mạng với mục đích xác định xem các phiên bản mạng có được xác thực và ủy quyền hay không.
