H έννοια της ασφάλειας μηδενικής εμπιστοσύνης (zero trust), η οποία χρονολογείται πάνω από μια δεκαετία όταν και ορίστηκε για πρώτη φορά το έτος 2010 από τους αναλυτές της Forrester – εμφανίζεται σταθερά όλο και πιο συχνά αναφορικά με το περιβάλλον των οργανισμών, ιδιαίτερα καθώς η πανδημία Covid-19 καθιστά την παραδοσιακή περίμετρο των δικτύων έννοια ξεπερασμένη.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
H εξάλειψη – ή τουλάχιστον η μείωση – της εμπιστοσύνης στο δικτυακό περιβάλλον και των συσκευών που δυνητικά είναι συνδεδεμένες με αυτό, καθίσταται κρίσιμης σημασίας για τους οργανισμούς αναφορικά με τη δυνατότητά τους να αμυνθούν έναντι των πολλαπλασιαζόμενων απειλών ασφαλείας που έχουν εμφανιστεί στο σύγχρονο επιχειρησιακό περιβάλλον.
Σύγχρονες εξελίξεις όπως το mobile computing, η εξ αποστάσεως εργασία και η επικράτηση του λογισμικού ως υπηρεσίας (Software as a Service – SaaS) σημαίνει ότι η παραδοσιακή περιμετρική ασφάλεια δεν μπορεί να θεωρηθεί πια επαρκής. Η έννοια της μηδενικής εμπιστοσύνης περιγράφει την ανάγκη αντιμετώπισης ολοένα και πιο περίπλοκων απαιτήσεων ασφάλειας που ασκούν αυξανόμενη πίεση στα μέτρα και μηχανισμούς ασφαλείας των οργανισμών που βασίζονται στην περιφέρεια των δικτύων.
Μηδενική Εμπιστοσύνη δεν σημαίνει Έλλειμα Εμπιστοσύνης
Το μοντέλο ασφάλειας μηδενικής εμπιστοσύνης σημαίνει ότι ουδείς και τίποτα δεν είναι αξιόπιστο εκτός ή εντός του δικτύου ενός οργανισμού, επομένως πρέπει να τεθούν σε εφαρμογή κατάλληλοι έλεγχοι για τη μείωση του κινδύνου μη εξουσιοδοτημένης πρόσβασης σε αποδεκτό επίπεδο. Με άλλα λόγια, το μοντέλο αυτό επιτάσσει την εφαρμογή μηχανισμών άμυνας σε βάθος (defense in depth).
Η υλοποίηση μηχανισμών μηδενικής εμπιστοσύνης, αλλάζει το παραδοσιακό μοντέλο της «εμπιστοσύνης, αλλά επαλήθευσης (trust but verify)» – όπου υποθέτετέ ότι οποιαδήποτε συσκευή ή περιουσιακό στοιχείο που είναι συνδεδεμένο στο εσωτερικό δίκτυο ενός οργανισμού έχει πιθανότατα εξουσιοδότηση πρόσβασης σε πόρους του οργανισμού, αλλά σε κάθε περίπτωση η εξουσιοδότηση υπόκειται επαλήθευσης – σε ένα μοντέλο «ποτέ μην εμπιστεύεστε, πάντα επαληθεύστε» – όπου κάθε συσκευή πρέπει να περάσει ελέγχους ταυτότητας και πολιτικής ασφαλείας για πρόσβαση σε οποιουσδήποτε εταιρικούς πόρους και για έλεγχο της πρόσβασης μόνο στο βαθμό που απαιτείται.
Με άλλα λόγια, αντίθετα με το παραδοσιακό μοντέλο, όπου όλοι οι χρήστες είναι αξιόπιστοι αφού εισέλθουν την περίμετρο του δικτύου, στο μοντέλο μηδενικής εμπιστοσύνης, κανένας χρήστης ή συσκευή δεν είναι αξιόπιστος μόνο και μόνο επειδή έχει συνδεθεί στο δίκτυο του οργανισμού. Αντίθετα, απαιτείται αυστηρός έλεγχος ταυτότητας και εξουσιοδότηση χρήστη και συσκευής σε όλο το δίκτυο για την επαλήθευση της ταυτότητας και των δικαιωμάτων πρόσβασης του ατόμου ή της οντότητας που ζητά πρόσβαση.
Η ασφάλεια μηδενικής εμπιστοσύνης αφορά τον αναλυτικό έλεγχο ταυτότητας και την εξουσιοδότηση με βάση τις παραμέτρους κάθε αιτήματος πρόσβασης σε ένα περιβάλλον, είτε τοπικά, είτε στο cloud, είτε σε υβριδικό περιβάλλον, με αξιολόγηση παραμέτρων κατά τον χρόνο εκτέλεσης σχετικών με τα χαρακτηριστικά χρήστη, συσκευής, εφαρμογής και δεδομένων σε σχέση με τις πολιτικές ελέγχου πρόσβασης. Αποτελεί την απόλυτη ενσάρκωση της αρχής του ελάχιστου προνομίου (least privilege) περιορίζοντας την πρόσβαση μόνο σε αυτούς που είναι αναγκαίο για να κάνουν τη δουλειά τους, μειώνοντας έτσι την ευκαιρία για τους κακόβουλους επιτιθέμενους να μετακινούνται μέσα στο δίκτυο του οργανισμού.
Το μοντέλο μηδενικής εμπιστοσύνης επιτρέπει στους υπεύθυνους ασφάλειας των οργανισμών να επανακτήσουν κατά κάποιο τρόπο τον έλεγχο. Η μετάβαση στη μηδενική εμπιστοσύνη δημιουργεί τις προϋποθέσεις ώστε η ασφάλεια των πληροφοριών να ανακτήσει τον έλεγχο των πολλών νέων περιμέτρων του εταιρικού οικοσυστήματος. Μετατοπίζει την ασφάλεια από το επίπεδο διεύθυνσης και τοποθεσίας, σε ένα μοντέλο με επίκεντρο τα δεδομένα, ενώ η εγγενής τμηματοποίηση των δικτύων μηδενικής εμπιστοσύνης παρέχει επίσης ορατότητα στην κίνηση των δεδομένων και επιτρέπει στον οργανισμό να κατανοήσει τα «ποιος, τι, πότε, πού, γιατί και πώς», τα οποία είναι σημαντικά για τη διαχείριση της πρόσβασης, της ασφάλειας, της παρακολούθησης και της συνολικότερης συμμόρφωσης του οργανισμού.
Στοιχεία και οφέλη μιας αρχιτεκτονικής μηδενικής εμπιστοσύνης
Το μοντέλο μηδενικής εμπιστοσύνης συνήθως συνδυάζει τα παρακάτω στοιχεία ελέγχου για τη διαχείριση της συσκευής, του χρήστη και του επιπέδου εμπιστοσύνης για οποιονδήποτε επιθυμεί πρόσβαση σε εταιρικούς πόρους:
- Ενιαία διαχείριση τελικού σημείου – Η δυνατότητα επιβολής και παρακολούθησης της συμμόρφωσης όλων των συσκευών τερματικού σημείου, είτε ανήκουν σε εταιρεία, είτε στους υπάλληλους αν ακολουθείται η προσέγγιση Φέρετε τη Δική σας Συσκευή – Bring your Own Device / BYOD). Αυτό σημαίνει ότι ο οργανισμός γνωρίζει τα χαρακτηριστικά της συσκευής και συγκεκριμένες απειλές για την ασφάλεια που αυτά μπορεί να επιφέρουν, όπως ένα λειτουργικό σύστημα συσκευής που είναι ξεπερασμένο.
- Single sign-on – Ένα μοναδικό σημείο σύνδεσης του χρήστη και μεταβίβαση πλήρως επικυρωμένων διαπιστευτηρίων από σύστημα σε σύστημα. Μια ενιαία εκδοχή της ταυτότητας του χρήστη, και ένα μόνο σημείο εισόδου που επικυρώνει τα διαπιστευτήρια του χρήστη και καταγράφει την πρόσβαση εντός και εκτός εταιρικών συστημάτων, είναι σημαντική για μια εύκολη εμπειρία χρήσης σε περιβάλλον μηδενικής εμπιστοσύνης.
- Έλεγχος ταυτότητας πολλαπλών παραγόντων – Μια αξιόπιστη συσκευή, ένας μηχανισμός ταυτοποίησης πολλαπλών παραγόντων, ένα βιομετρικό χαρακτηριστικό, ανάλυση συμπεριφοράς, δεδομένα τοποθεσίας, περιορισμοί βάσει χρόνου κ.λπ. . Όταν η ταυτότητα και τα δικαιώματα πρόσβασης κάθε χρήστη πρέπει να επικυρωθούν, το να βασίζεται κάποιος σε έναν μόνο παράγοντα δεν αποτελεί πλέον επιλογή.
Μια προσέγγιση και υλοποίηση ενός μοντέλου μηδενικής εμπιστοσύνης στην ασφάλεια των οργανισμών εμφανίζει τα ακόλουθα οφέλη, που μπορούν να συνοψιστούν ως εξής:
- Δυναμική εξασφάλιση της σύνδεσης μεταξύ χρήστη / συσκευής και πόρου / εφαρμογής.
- Διευκόλυνση της παροχής και της ενεργοποίησης της ασφάλειας πρόσβασης σε υβριδικά περιβάλλοντα πολλαπλών παρόχων υπολογιστικής νέφους.
- Μείωση των απειλών ασφαλείας και των επιθέσεων εντός του δικτύου του οργανισμού.
- Βελτίωση του ελέγχου του επιπέδου συμμόρφωσης των δραστηριοτήτων πρόσβασης εντός του οργανισμού.
Στρατηγική υλοποίησης ενός μοντέλου μηδενικής εμπιστοσύνης
Πρέπει, βέβαια, να γίνει κατανοητό σε όλους, ότι η προσέγγιση μηδενικής εμπιστοσύνης δεν είναι μια πρόταση με το κλειδί στο χέρι. Οι οργανισμοί πρέπει να δημιουργήσουν μια στρατηγική μηδενικής εμπιστοσύνης που να εξετάζει τον τρόπο με τον οποίο ο οργανισμός θα προσεγγίσει και ποιος θα ηγηθεί της προσπάθειας, μεταξύ άλλων σημαντικών παραγόντων.
Ωστόσο, πριν ξεκινήσει ο προγραμματισμός, είναι απαραίτητο η ομάδα ασφάλειας του οργανισμού να βρίσκεσαι σε ευθυγράμμιση τόσο με την στρατηγική του οργανισμού, όσο και με τις μοναδικές ανάγκες και χαρακτηριστικά αυτού, που δυνητικά θα καθορίσουν και τα χαρακτηριστικά της υλοποίησης του μοντέλου μηδενικής εμπιστοσύνης.
- Η μηδενική εμπιστοσύνη είναι πολύ λεπτομερής. Μόνο η ελάχιστη δυνατή πρόσβαση παρέχεται στη μικρότερη μονάδα πόρων.
- Η μηδενική εμπιστοσύνη είναι δυναμική. Η εμπιστοσύνη επαναξιολογείται συνεχώς μέσω της αλληλεπίδρασης μεταξύ χρήστη και πόρου.
- Η μηδενική εμπιστοσύνη είναι από άκρη σε άκρη. Η ασφάλεια εκτείνεται από την αιτούσα οντότητα έως τον πόρο που ζητήθηκε.
- Η μηδενική εμπιστοσύνη είναι ανεξάρτητη από προϋπάρχουσες ταξινομήσεις. Οι όροι εντός και εκτός περιμέτρου δεν έχουν καμία σημασία στον κόσμο της μηδενικής εμπιστοσύνης.
Από τη στιγμή που έχουν καθοριστεί και συμφωνηθεί τα παραπάνω χαρακτηριστικά, οι ομάδες ασφάλειας πληροφορικών του οργανισμού μπορούν να δημιουργήσουν μια στρατηγική βασισμένη σε έξι βήματα.
Βήμα 1. Δημιουργία αποκλειστικής ομάδας μηδενικής εμπιστοσύνης – Η μηδενική εμπιστοσύνη είναι μια από τις πιο σημαντικές πρωτοβουλίες που μπορεί να αναλάβει ένας οργανισμός. Για το λόγο αυτό, αντί να καταστεί η “μετακίνηση στη μηδενική εμπιστοσύνη” μια εργασία που κατατάσσεται μεταξύ των υπόλοιπων υποχρεώσεων όλων, η δημιουργία μιας μικρής ομάδας που έχει επιφορτιστεί με τον σχεδιασμό και την εφαρμογή της μετεγκατάστασης μηδενικής εμπιστοσύνης είναι απαραίτητη.
Αυτή η ομάδα θα πρέπει να περιλαμβάνει μέλη από τις ομάδες επιφορτισμένες με την υλοποίηση και υποστήριξη εφαρμογών και ασφάλειας δεδομένων, ασφάλειας δικτύου και υποδομής, καθώς και ταυτότητας χρήστη και συσκευής, επειδή αυτές οι περιοχές είναι οι τρεις πιο κομβικές για τον σχεδιασμό και την υλοποίηση ενός μοντέλου μηδενικής εμπιστοσύνης. Η ομάδα θα πρέπει επίσης να περιλαμβάνει μέλη από τις ομάδες λειτουργιών ασφαλείας και τη διαχείριση κινδύνων.
Βήμα 2. Αξιολόγηση του περιβάλλοντος – Η κατανόηση των ελέγχων σε όλο το περιβάλλον θα κάνει την ανάπτυξη μιας στρατηγικής μηδενικής εμπιστοσύνης απλούστερη, με την προϋπόθεση ότι θα είναι ξεκάθαρα τα κάτωθι σημεία. Σε ένα περιβάλλον δικτύου, οι μηχανισμοί ασφάλειας και τα στοιχεία ελέγχου περιλαμβάνουν τείχη προστασίας, πύλες εφαρμογών web και άλλους σχετικούς μηχανισμούς. Σε ένα περιβάλλον χρήστη/ταυτότητας, τα στοιχεία ελέγχου μπορεί να είναι ασφάλεια τελικού σημείου — εντοπισμός και απόκριση τελικού σημείου ή εκτεταμένη ανίχνευση και απόκριση — και διαχείριση ταυτότητας και πρόσβασης. Σε ένα περιβάλλον εφαρμογών και δεδομένων, αυτά περιλαμβάνουν ασφάλεια κοντέινερ, πρόληψη απώλειας δεδομένων, εξουσιοδότηση μικροϋπηρεσιών και άλλους αντίστοιχους μηχανισμούς ελέγχου.
Είναι αδύνατο να σχεδιαστεί στον απαραίτητο βαθμό λεπτομέρειας η αναλυτική πρόσβαση στα δεδομένα εάν δεν προϋπάρχει κατανόηση σχετικά με την ταξινόμηση ασφαλείας αυτών των δεδομένων. Τα μη ταξινομημένα δεδομένα αντιπροσωπεύουν ένα κενό γνώσης που θα πρέπει να αντιμετωπιστεί σε μια στρατηγική μηδενικής εμπιστοσύνης.
Βήμα 3. Έλεγχος της διαθέσιμης τεχνολογίας – Είτε ταυτόχρονα είτε μετά την αξιολόγηση, η ανασκόπηση των αναδυόμενων τεχνολογιών που δίνουν την δυνατότητα υλοποίησης μοντέλων μηδενικής εμπιστοσύνης είναι εκ των ουκ άνευ. Ο σύγχρονος εξοπλισμός δικτύωσης επόμενης γενιάς περιλαμβάνει δυνατότητες όπως η βαθιά τμηματοποίηση – ή η μικροτμηματοποίηση – εικονική δρομολόγηση και διαχείριση συνδέσεων που μπορούν να μετατρέψουν αυτές τις συσκευές σε βασικά στοιχεία μιας αρχιτεκτονικής μηδενικής εμπιστοσύνης.
Βήμα 4. Υλοποίησης βασικών πρωτοβουλιών μηδενικής εμπιστοσύνης – Σημαντικό σημείο είναι επίσης η σύγκριση των δυνατοτήτων της υπάρχουσας, υλοποιημένης τεχνολογίας στον οργανισμό, με τις αναγκαίες δυνατότητες για την υλοποίηση μοντέλων μηδενικής. Η σύγκριση αυτή, θα δώσει εναλλακτικές μεθόδους ανάπτυξης, ιεράρχησης και έναρξης πρωτοβουλιών όπως “αναβάθμιση της υπάρχουσας υποδομής δικτύου σε εξοπλισμό ικανό για βαθιά τμηματοποίηση δικτύου” ή “ανάπτυξη ελέγχου ταυτότητας μικροϋπηρεσιών”.
Βήμα 5. Ορισμός των λειτουργικών αλλαγών – Η στρατηγική μηδενικής εμπιστοσύνης μπορεί να αλλάξει θεμελιωδώς τις λειτουργίες ασφάλειας. Για παράδειγμα, καθώς οι εργασίες είναι αυτοματοποιημένες, οι αντίστοιχες μη αυτόματες εργασίες μπορεί να χρειαστεί να τροποποιηθούν ή να αυτοματοποιηθούν για να συμβαδίζουν και να αποτρέπονται κενά στην ασφάλεια.
Βήμα 6. Εφαρμογή, μέτρηση, αξιολόγηση και επανάληψη – Καθώς ο οργανισμός αναπτύσσει νέες τεχνολογίες, η αξία τους είναι αναγκαίο να αξιολογηθεί σύμφωνα με υπάρχουσες ή νέες μετρικέ ασφαλείας, συμπεριλαμβανομένου του μέσου συνολικού χρόνου για τον περιορισμό των περιστατικών, ο οποίος θα μειώνεται δραματικά όσο πιο κοντά ένας οργανισμός πλησιάζει στη μηδενική εμπιστοσύνη.
Αντίκτυπος και Προβληματισμοί
Η συνάφεια και ο αντίκτυπος της υιοθέτησης της ασφάλειας μηδενικής εμπιστοσύνης μπορεί να συνοψιστεί ως εξής:
- Η προσέγγιση μηδενικής εμπιστοσύνης στην ασφάλεια ισχύει για όλους τους οργανισμούς που επιδιώκουν να βελτιώσουν την ασφάλεια για το εργατικό δυναμικό και τις επιχειρήσεις που κατανέμονται όλο και περισσότερο.
- Η μηδενική εμπιστοσύνη είναι ένα βασικό παράδειγμα αρχιτεκτονικής όσον αφορά τη διασφάλιση μελλοντικών υπολογιστικών περιβαλλόντων και την επιβολή της αρχής του ελάχιστου προνομίου με βάση την υπόθεση ότι κάθε δίκτυο, συσκευή και χρήστης είναι εχθρικό.
- Ο αντίκτυπος της μηδενικής εμπιστοσύνης θα είναι η βελτίωση της ασφάλειας μειώνοντας τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης και συναφών παραβιάσεων δεδομένων.
- Καθώς η μηδενική εμπιστοσύνη γίνεται πιο κοινή και διαδεδομένη, θα υπάρχει αυξανόμενη προσδοκία από τις ρυθμιστικές αρχές, τους συνεργάτες και τους πελάτες για τους οργανισμούς να εφαρμόσουν αυτήν την προσέγγιση στην ασφάλεια.
Παρόλα τα προφανή πλεονεκτήματα, οι οργανισμοί σχετικά με την υιοθέτηση της μηδενικής εμπιστοσύνης λόγω του πιθανά υψηλού κόστους εφαρμογής ενός μοντέλου μηδενικής εμπιστοσύνης.
Μια προσέγγιση που μπορεί να απαλύνει τους προβληματισμούς αυτούς, μπορεί να είναι η έμφαση στη σταδιακή εξέλιξη προς τις αρχές μηδενικής εμπιστοσύνης, ξεκινώντας από την ταυτότητα και άλλους θεμελιώδεις ελέγχους ασφάλειας και μειώνοντας την επιφάνεια επίθεσης χρησιμοποιώντας το υπάρχον αποτύπωμα ελέγχου του οργανισμού
Με άλλα λόγια, προτείνεται μια σταδιακή προσέγγιση για την ανάπτυξη μηδενικής εμπιστοσύνης στους οργανισμούς, ξεκινώντας από τα υπάρχοντα συστήματα και μηχανισμούς ασφάλειας. Καθώς θα υλοποιείται το μοντέλο μηδενικής εμπιστοσύνης σε αυτούς τους τομείς, είναι δυνατή στη συνέχεια η επένδυση σε νέους τομείς, όπως η ενίσχυση του εύρους περιπτώσεων χρήσης παρακολούθησης ασφαλείας για την απόκτηση μεγαλύτερης ορατότητας, την αυτοματοποίηση των χειροκίνητων εργασιών ασφαλείας και την αύξηση της ωριμότητας μηδενικής εμπιστοσύνης.
Η μηδενική εμπιστοσύνη συναντά την εξ αποστάσεως εργασία
Η χρησιμότητα και η σημασία της προσέγγισης μηδενικής εμπιστοσύνης για την ασφάλεια έχει αυξηθεί σήμερα, και λόγω της πανδημίας, καθώς τα περιβάλλοντα πληροφορικής γίνονται όλο και περισσότερο αποκεντρωμένα και κατανεμημένα.
Στη μετά τον Covid εποχή, αναμένουμε να δούμε μια ταχεία υιοθέτηση του μοντέλου μηδενικής εμπιστοσύνης, καθώς η εξ αποστάσεως εργασία γίνεται πιο κοινή και διαδεδομένη. Ένας αυξανόμενος αριθμός ανθρώπων θα εργάζεται εξ αποστάσεως, αποκτώντας πρόσβαση σε εταιρικούς πόρους και υπηρεσίες υπολογιστικού νέφους μέσω οικιακού Wi-Fi και διαδικτύου χρησιμοποιώντας ιδιόκτητες συσκευές και μη αξιόπιστα δίκτυα.
Η δημοσίευση ενός οδικού χάρτη για την εφαρμογή μηδενικής εμπιστοσύνης από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (SP 800-207) αναμένεται επίσης να βοηθήσει στην υιοθέτηση από οργανισμούς που αντιμετωπίζουν έναν αυξανόμενο αριθμό απαιτήσεων συμμόρφωσης για την εφαρμογή «λογικών» διαδικασιών και πρακτικών ασφαλείας .
Αν και η μηδενική εμπιστοσύνη είναι ένα πλαίσιο και όχι ένα μεμονωμένο προϊόν ή υπηρεσία, οι προμηθευτές ασφάλειας στον κυβερνοχώρο προσαρμόζονται επίσης όλο και περισσότερο και επεκτείνουν τις προσφορές προϊόντων και υπηρεσιών τους για να υποστηρίξουν την υιοθέτηση μιας προσέγγισης μηδενικής εμπιστοσύνης, εισάγοντας νέες πλατφόρμες, συνδυάζοντας υπάρχουσες προσφορές και ακόμη και κάνοντας στρατηγικές εξαγορές.
Επίλογος
Αρκετές βασικές τάσεις οδηγούν την καινοτομία και την αλλαγή στην αγορά ασφάλειας στον κυβερνοχώρο, καθώς οι πάροχοι λογισμικού, υλικού και υπηρεσιών επιδιώκουν να ανταποκριθούν στις μεταβαλλόμενες ανάγκες ασφάλειας στον κυβερνοχώρο των επιχειρήσεων που δραστηριοποιούνται σε μια εξαιρετικά ανταγωνιστική παγκόσμια αγορά.
Η ενεργή υιοθέτηση μιας προσέγγισης μηδενικής εμπιστοσύνης για την ασφάλεια στον κυβερνοχώρο είναι μία από τις μεγαλύτερες από αυτές τις τάσεις σε έναν ταχέως ψηφιοποιούμενο κόσμο μετά την Covid, επειδή καθώς οι χρήστες, οι συσκευές και ο φόρτος εργασίας των εφαρμογών κινούνται εκτός των ορίων του εταιρικού δικτύου, το παραδοσιακό μοντέλο επιβολής η ασφάλεια στην περίμετρο του δικτύου δεν είναι πλέον κατάλληλη.
Οι οργανισμοί κατανοούν όλο και περισσότερο τη σημασία της υιοθέτησης μιας προσέγγισης για την ασφάλεια που διασφαλίζει ότι τα δεδομένα έχουν πρόσβαση σε όσους τα χρειάζονται για να κάνουν τη δουλειά τους, ανεξάρτητα από το πού εργάζονται, ενώ παράλληλα διασφαλίζουν την προστασία των δεδομένων με την επιβολή πολιτικών ασφαλείας.
Η μηδενική εμπιστοσύνη είναι το πιο σχετικό μοντέλο ασφάλειας από αυτή την άποψη. Ταιριάζει καλά στις σημερινές απαιτήσεις ασφάλειας και αυξάνεται σε δημοτικότητα. Αν και η έννοια της μηδενικής εμπιστοσύνης δεν είναι νέα, είναι τελικά ένα καθιερωμένο παράδειγμα για τον τρόπο σκέψης για την ασφάλεια στον κυβερνοχώρο, στο οποίο θεωρείται παραβίαση και πρέπει να επαληθευτεί όλη η ταυτότητα και η πρόσβαση.
Υπό το πρίσμα των μεταβαλλόμενων απαιτήσεων για την ασφάλεια στον κυβερνοχώρο σε έναν κόσμο που γίνεται όλο και περισσότερο ψηφιακός, κατανεμημένος, κινητός και βασισμένος στο cloud, οι οργανισμοί τελικών χρηστών θα πρέπει:
- Υιοθετήστε αρχές μηδενικής εμπιστοσύνης για να επιτρέψετε στους εργαζόμενους να έχουν πρόσβαση σε υπηρεσίες που βασίζονται σε cloud και σε υπηρεσίες εσωτερικής εγκατάστασης με ασφάλεια.
- Αξιολογήστε το υπάρχον σύνολο εργαλείων ασφαλείας τους όσον αφορά την υποστήριξη μηδενικής εμπιστοσύνης, συμπληρώστε τυχόν κενά και αποσύρετε τα εργαλεία που δεν υποστηρίζουν μηδενική εμπιστοσύνη.