Аналитичната компания Forrester Research въвежда термина „ Zero Trust “ през 2010 г., за да опише модел на защита, при който всеки и всяко устройство, което се опитва да се свърже с мрежов актив, се третира като ненадеждно ^[1]. Моделът набляга на използването на идентификационни данни на устройства и потребители, а не на местоположението в мрежата, като основа за предоставяне или отказ на достъп до мрежови ресурси.

Forrester заявява, че подходът е от решаващо значение за предотвратяване на атаките да се движат незабелязани в мрежа, търсейки цели с висока стойност, след като са пробили периметъра. Напоследък се случват многобройни пробиви на данните, тъй като конвенционалните средства за контрол на сигурността и инструментите за предотвратяване на изтичане на данни не са в състояние да забележат злонамерени дейности, извършвани от външни участници, използващи откраднати идентификационни данни, за да се движат свободно. Проблемът се крие в дългогодишната практика на организациите имплицитно да се доверяват на потребителите и трафика във вътрешната мрежа, като същевременно третират само външни потребители като ненадеждни.
Хакерите не са единственият проблем. Нарастващата мобилна работна сила и нарастващото използване на облачни услуги за хостване на приложения и услуги също затрудняват много организации да установят и наложат мрежов периметър. Старият подход „замък и ров“ за предоставяне на достъп до вътрешни ресурси чрез силно подсилен периметър вече не работи поради това че, корпоративните данни са разпръснати и множеството от  начини, по които може да се получи достъп до тях.
„Доверието е опасна уязвимост, която може да бъде експлоатирана“, казва Джон Киндерваг, бивш анализатор на Forrester и създател на модела Zero Trust и понастоящем главен технически директор в Palo Alto Networks. За да бъдат сигурни, организациите трябва да преодолеят понятието за надежден и ненадежден потребител и мрежа. 
При Zero Trust всичко е недоверено. Вече няма надеждни мрежи, устройства или доверени хора. Трябва да се съсредоточим върху пакетите, които преминават през мрежата. Целият трафик - не само външен - трябва да се следи.

Един от ключовите принципи, които трябва да имате предвид, когато тръгвате по пътя към Zero Trust, е, че нищо не може да има достъп до вътрешни ресурси, докато не е надеждно доверено. Доверието, което присвоявате на потребител, не се основава на това дали този потребител се опитва да осъществи достъп до корпоративно приложение от вътрешния периметър на вашата мрежа или извън него. Вместо това достъпът трябва да се основава на това, което знаете за потребителя, какво знаете за неговото устройство и това, което е достъпно ^[2]. 
Фокусът трябва да бъде върху сигурно удостоверяване на потребителите, познаване на техните роли и привилегиите им за достъп и възможност за откриване на ненормално поведение на потребителите и устройствата. Това също така означава да можете да проверявате надеждно устройствата, да идентифицирате контекста, в който се използва дадено устройство, и да гарантирате, че всички необходими контроли за сигурност са налице върху тях. В такава среда възможности като многофакторна автентификация (MFA) и поведенчески анализ на потребителите и обектите (UEBA) са ключови за установяването на доверие на потребителите. Целта на Zero Trust е да се премине към модел на никога не се доверява, винаги да се проверява.

Когато планирате Zero Trust, е жизненоважно да проектирате сигурността отвътре навън, а не отвън, както правят повечето организации днес. Трябва да сте по-малко загрижени за вашата повърхност за атака и да се съсредоточите повече върху „защитената повърхност“ - цифровите активи, които всъщност трябва да защитите. 
Целта трябва да бъде да преместите контролите си за сигурност и достъп възможно най-близо до повърхността, която искате да защитите, вместо да ги залепите далеч по периметъра на мрежата. 
Периметърът за сигурност все още ще бъде около отделни машини, но идеята за привилегирована мрежа, разположена зад корпоративен периметър, е остаряла. Модела Zero Trust предлага много по-последователен и сигурен начин за предоставяне на достъп до активите на организацията, отколкото ориентирани към периметъра подходи. 
Малко неща са по-важни при започване на работа с Zero Trust, отколкото видимостта. За да защитите най-чувствителните си данни, трябва да знаете къде се намират, как текат в организацията, потребителите, които имат достъп до тях, и устройствата, които се използват за достъп до тях. Както Google отбеляза, когато не можете да се доверите на мрежата да осигури сигурен достъп до корпоративни активи, имате нужда от надеждни и актуални данни за хората и системите, които имат достъп до тях.
 

[1] Mary K. Pratt, “What Is Zero Trust? A Model for More Effective Security,” CSO Online, January 16, 2018, https://www.csoonline.com/article/3247848/what-is-zero-trust-a-model-for-more-effective-security.html.
[2] Jaikumar Vijayan, “How Akamai Implemented a Zero-Trust Model,” CSO Online, May 2, 2019, https://www.csoonline.com/article/3392820/how-akamai-implemented-a-zero-trust-model.html.