Tenk sikkerhet fra innsiden og ut
Zero Trust baserer seg på at man aldri skal stole på noe, hverken eksternt eller internt. Dette gjelder datatekniske komponenter som PC, telefon, server, IoT etc. Hvis en inntrenger finner en svakhet i systemet, er sjansen stor for at den kan komme videre til kritiske data. Man bør derfor gi tilgang etter verifisering, basert på at tilgangen er helt essensiell for at noen kan gjøre jobben sin (principle of least privilege).
Det er anbefalt å gjennomføre en ROS (risiko og sårbarhet), for å kartlegge sine verdier, risikoer og sårbarheter. Jobbprioritet baseres på dette resultatet.
Tilgangskontroll gjøres for risikovurderte elementer basert på følgende kriterier:
- Hvorfor
- Hvem
- Hva
- Hvordan
- Hvor
- Når
Grundig tilgangskontroll gjennomføres for tillatt trafikk for å redusere angrepsflaten til et absolutt minimum. For å redusere sannsynligheten for datalekkasje, vil utgående sikkerhet være sentralt. Derfor må utgående tilgangskontroll gjennomføres på samme måte som inngående. Full inspeksjon av all tillatt trafikk, begge veier, som vil kreve SSL-dekryptering, samt logging av all datatrafikk, er helt sentralt i Zero Trust.
Never trust, Always verify.