Die heutigen Arbeitsumgebungen werden nicht mehr durch die Perimeter und Grenzen bestimmt, wie sie früher bestanden. Infolgedessen haben sich die Sicherheitsbedrohungen vervielfacht und der Druck auf die IT-Teams in Bezug auf den Schutz der Daten ist rapide gestiegen. Moderne Arbeit findet oftmals in einer mobilen Cloud-Umgebung außerhalb traditioneller Sicherheitskontrollen statt und aus der Perspektive dieser Kontrollen ist es eine Umgebung ohne Vertrauen.
Da Angriffe immer ausgefeilter werden, sind Sicherheitsexperten gezwungen, die Best Practices zu überdenken, auf die sie sich bisher verlassen haben. Die Fortschrittlicheren unter ihnen haben erkannt, dass die besten Lösungen eine sichere kontextuelle Verbindung zur Verfügung stellen - basierend auf Gerät, App, Benutzer, Umgebung, Netzwerk und allem anderen, was mit dem Zugriff auf Daten zu tun hat.
Der Begriff "Zero Trust" wurde 2010 von John Kindervag, damals Analyst bei Forrester Research, geprägt (PDF). Etwa zur gleichen Zeit wurde eine ähnliche Idee von Google angenommen, um seine Mitarbeiter mit ihren internen Anwendungen zu verbinden. Die Google BeyondCorp-Methodik entstand aus dieser Notwendigkeit und führte zu einer spezifischen Anpassung des softwaredefinierten Perimeters (SDP).
Das Zero Trust-Modell behandelt alle Geräte oder "Hosts" so, als ob sie ins Internet gehen, und betrachtet das gesamte Netzwerk als kompromittiert und feindlich. Es wird davon ausgegangen, dass der gesamte Zugriff auf Unternehmensressourcen eingeschränkt werden sollte, bis der Benutzer seine Identität und Zugriffsberechtigungen nachgewiesen hat und bis das Gerät eine Sicherheitsprofilprüfung bestanden hat.
Aufbau und Arbeit in einer Zero-Trust-Umgebung
Um Vertrauen in einer Zero-Trust-Umgebung zu etablieren, muss ein Unternehmen zunächst Folgendes sicherstellen:
Alle Ressourcen werden unabhängig vom Standort sicher abgerufen.
Die Zugangskontrolle erfolgt auf dem "Need-to-know"-Prinzip und wird streng durchgesetzt.
Der Kontext ist von zentraler Bedeutung für die Schaffung von Vertrauen. Dieser Kontext ergibt sich aus der Haltung von Betriebssystem, Gerät, Netzwerk, App und Standort. Diese Informationen können dann verwendet werden, um adaptive Sicherheitsabläufe bereitzustellen, die das Risiko eines Datenverlustes minimieren. Auf diese Weise wird "Vertrauen" geschaffen.