NIST piyasaya sürülmüş Özel Yayın (SP) 800-207A – “Çok Lokasyonlu Ortamlarda Bulut Yerel Uygulamalarda Erişim Kontrolü için Sıfır Güven Mimari Modeli.”
Kurumsal uygulama ortamları, birden çok bulut ve şirket içi ortamı kapsayan, coğrafi olarak dağıtılmış ve gevşek bir şekilde bağlanmış mikro hizmetlerden oluşur. Farklı konumlardaki kullanıcılar bunlara farklı cihazlar aracılığıyla erişir.
Bu senaryo, güvenli iletişim ve erişim politikalarının doğrulanması yoluyla tüm kurumsal erişim varlıklarında, veri kaynaklarında ve bilgi işlem hizmetlerinde güven oluşturulmasını gerektirir.
Sıfır güven mimarisi (ZTA) ve üzerine inşa edildiği ilkeler, genellikle hizmet ağı gibi entegre bir uygulama hizmeti altyapısı tarafından sağlanan gerekli güvenlik güvencelerinin elde edilmesine yönelik uygulama durumu olarak kabul edilmiştir.
ZTA, yalnızca durum değerlendirmeleri (örn. kullanıcı, hizmet ve talep edilen kaynak) yoluyla tüm varlıkların kimlik doğrulamasını ve yetkilendirilmesini dinamik olarak yöneten kapsamlı bir politika çerçevesi aracılığıyla gerçekleştirilebilir. Bu kılavuz şunları önermektedir:
- Hem ağ katmanı hem de kimlik katmanı politikalarının formülasyonu
- Farklı politikaların konuşlandırılmasını ve uygulanmasını sağlayacak teknoloji bileşenlerinin konfigürasyonu (örn. ağ geçitleri, hizmet kimlikleri için altyapı, politikaları uygulayan kimlik doğrulama ve yetkilendirme modülleri)
- Kaynakların durumunu gözlemlemek ve olayları takip etmek (örn. kullanıcı erişim talepleri, kurumsal dizinlerdeki değişiklikler) gibi çeşitli görevleri kapsayan kapsamlı bir izleme çerçevesi.
- Erişim haklarının ince ayarını yaparak ve aşamalı kimlik doğrulamayı zorunlu kılarak güvenliği artırmak için telemetri verilerinin kullanılması.