Soru: Sıfır güven, güveni doğrulamada doğası gereği daha sürekli olacak şekilde nasıl evrimleşiyor?
Ash Devata, genel müdür, Cisco Zero Trust ve Duo Security: Sıfır güven, bir kullanıcı bir iş uygulamasına erişmeye çalışırken varsayılan olarak sıfır güven varsaymak ve güvensizliğin temel çizgisinden bir dizi kontrol gerçekleştirerek güven oluşturmakla ilgilidir. Üç ana kontrol, kullanıcı kimliği, cihaz duruşu ve kimliği ve genel davranışla ilgilidir. Başarılı olmak için kuruluşların bu denetimleri son kullanıcı için herhangi bir sorun yaratmadan gerçek zamanlı olarak gerçekleştirebilmesi gerekir.
Bu model hakkında düşündüğümüzde iki ilk soru ortaya çıkıyor. Güven, varlıklar arasında anlamlı bir şekilde aktarılabilir mi? Örneğin, dizüstü bilgisayarınızda oturum açtığınızda gerçekten siz olduğunuzu kanıtladınız. Şimdi, dizüstü bilgisayarınızda e-posta istemcisinde oturum açarken neden kimliğinizi tekrar kanıtlamanız gerekiyor? İkinci soru, giriş sonrası ile ilgili. Oturum verildikten sonra güvendeki değişiklikleri nasıl değerlendirebiliriz? Bazı uygulamalar aylarca oturum verir ve o zaman diliminde güven seviyeleri değişir. Örneğin, bir kullanıcı bilgisayarında disk düzeyinde şifrelemeyi kapatabilir veya hastane binasından bir kafeye taşınabilir.
Her iki soruyu da çözen teknolojiler üzerinde çalışıyoruz. Kuruluşlar, kullanıcının oturumu verildikten sonra bile güveni sürekli olarak değerlendirmek ister. Mümkün olduğunda güveni cihazdan uygulamaya aktarmak istiyorlar. Sürtünme veya gecikme eklemeden bunu yapmak istiyoruz.
Oturum açma sonrası kullanım durumunu ele almak için Sürekli Erişim Değerlendirme Protokolü (CAEP) adı verilen yeni bir açık standart geliştirilmektedir. OpenID Foundation, Cisco, Google ve Microsoft gibi satıcılarla birlikte güvenlik sinyalleri için daha birlikte çalışabilir iletişim mekanizmaları oluşturmak için bu çabaya öncülük ediyor. Tüm kuruluşların kolayca benimseyebileceği bir model sıfır güven oluşturmak için diğer zorluklardaki ilerleme de gelişmeye devam edecektir.
