零信任(Zero Trust)是一種網路安全策略和設計原則,其核心理念是「從不信任,始終驗證」。
零信任的核心在於打破傳統的默認信任模式,即不自動假定網路內外的任何實體(包括用戶、設備、系統和應用程式)是可信的。它要求對所有網路流量和互動進行顯式的持續驗證,這包括強制實施嚴格的身份驗證和授權,以及使用加密技術來保護數據和資源。零信任模型假定即使公司內部也可能發生數據洩露,因此它不基於物理位置或網路分段來決定信任度,而是基於每個請求的實時驗證來決定。
零信任的目的是無論用戶身處何處,都能確保全全地訪問所需資源,同時最小化潛在的安全風險。它還強調使用最小許可權原則,即只授予用戶完成任務所需的最小許可權。這種綜合的安全方法旨在適應現代複雜的環境,包括遠程工作和行動裝置的使用,從而提供更全面的網路安全。