İşletmelerin bilişim altyapıları gün geçtikçe daha karmaşık hale geliyor. Tek bir işletme içinde birden fazla ağ, farklı bölgelerden mobil kullanıcılar, bulut hizmetleri, kendi altyapısına sahip uzak ofisler ve kendi cihazını kullanan kullanıcılar olabilir. Bu karmaşıklık eski güvenlik yöntemlerin yeterli olmadığını açıkça göstermektedir. Artık korunması gereken birçok çevre olduğundan saldırganlar bu çevrelerden birini ihlal ettiğinde yanal hareketlerle kritik bilgilere erişebilecektir.
İşte bu karmaşıklık, siber güvenlik için “Sıfır Güven” (Zero Trust) olarak bilinen yeni bir modelin geliştirilmesine yol açmıştır. Sıfır Güven bir ürün veya bir teknoloji değildir, bir yaklaşımdır. Bu yaklaşım öncelikle veri ve hizmet korumasına odaklanır, ancak tüm kurumsal varlıkları (cihazlar, uygulamalar, sanal ve bulut bileşenleri) ve konuları (son kullanıcılar, kaynaklardan bilgi isteyen botlar) içerecek şekilde genişletilebilir ve genişletilmelidir.
Sıfır Güven yaklaşımı kuruma ait bir ortamda bir saldırganın bulunduğunu ve bu ortamın diğer ortamlardan daha farklı olmadığını, daha güvenilir olmadığını varsayar. Böylece bu varsayım işletmenin sürekli olarak risk altında olduğunu, bunların sürekli olarak analiz edilmesi gerektiğini ve analiz sonucu oluşan riskleri azaltmak için gerekli önlemlerin alınmasını sağlar. Koruma genellikle kaynaklara erişimi en aza indirgemeyi (yetkilendirme, tam zamanında erişim, doğrulama vb) içerir.
Sıfır Güven, “Asla güvenme, her zaman doğrula” tasarım ilkesi üzerine kurulmuş modern bir güvenlik modelidir. Bir kurumun ağının içinde veya dışında olmalarına bakılmaksızın tüm cihazların ve kullanıcıların kimliklerinin doğrulanmasını, yetkilendirilmesini ve erişim verilmeden önce düzenli olarak doğrulanmasını gerektirir. Kısacası Sıfır Güven, “Doğrulanana kadar kimseye güvenmeyin” der.
Sıfır Güven tek bir mimariden oluşmaz. Günümüzde birçok kurum kurumsal altyapısında Sıfır Güven Mimarisi unsurlarına sahiptir. Sıfır Güven Mimarisi “erişim ihtiyacı”, “sürekli doğrulama” ve “minimum erişim verme” üzerine odaklanır. Ortak amaç veri ihlallerini önlemek ve içerideki yanal hareketi sınırlandırmaktır.