Zero Trust是一种安全策略,它表示你不应仅基于用户、设备、或应用程序的某些属性授予隐式信任。它有三个核心原则:
- 从不信任,始终验证。始终验证指的是每当用户、设备或应用程序进行新的连接尝试时,该尝试都应该进行严格的身份认证和授权,而不是仅仅因为它来自公司网络内部而受到信任。
- 实施最小权限即你应该只授予用户和应用程序有效执行工作所需的最低访问权限。
- 假设违反。这个原则鼓励团队为最坏的情况做好计划,并制定可靠且经过测试的事件响应,以便在发生攻击时能够快速响应。这一原则还鼓励组织通过微分段等网络原则来缩小攻击的目标和影响区域。
