Tieto dva bezpečnostné koncepty môžu znieť podobne, ale sú úplne odlišné.
Aj keď koncepty nulovej dôvery a nulových znalostí sú kritickými súčasťami dnešných trendov v oblasti kybernetickej bezpečnosti, nie sú rovnaké.
Znejú trochu podobne a majú spoločný účel, ale nulové znalosti idú o krok ďalej ako nulová dôvera pri vytváraní bezpečnostného systému, ktorý dokáže čeliť neustále sa vyvíjajúcim kybernetickým hrozbám.
V skutočnosti možno dôkaz nulových znalostí použiť na premenu myšlienok modelu bezpečnosti s nulovou dôverou na realitu. Než však budeme pokračovať, vyjasnime si, čo sú tieto dva pojmy.
Čo je nulová dôvera?
Stručne povedané, ústrednou myšlienkou konceptu nulovej dôvery je „nikomu never, preveruj každého“. Takže v rámci nulovej dôvery neexistuje žiadna dôvera medzi sieťou a jej používateľmi, sieťou a jej hardvérovými a softvérovými komponentmi alebo medzi organizáciou a jej používateľmi.
S predpokladom, že každý a všetko je hrozbou, kým sa nepreukáže opak, bezpečnosť nulovej dôvery vždy pred povolením prístupu k aplikáciám a údajom, ktoré sú za nimi, požaduje nejaký druh overenia. Všetci používatelia v rámci nulovej dôveryhodnosti musia byť overení, autorizovaní a najprv musia prejsť hodnotením stavu zabezpečenia.
Nulová dôvera tiež umožňuje správcom IT zabezpečiť úplný prehľad o všetkých používateľoch, zariadeniach a systémoch. To nielen zabezpečuje súlad s predpismi, ale tiež pomáha predchádzať kybernetickým útokom spôsobeným ohrozenými používateľskými povereniami a zmierňuje úniky údajov. Je ich teda viac ako niekoľko dôvody na prijatie bezpečnostného modelu s nulovou dôverou.
Čo sú nulové znalosti?
Koncept nulových znalostí sa snaží prísť na to, ako môže niekto dokázať, že má niečo dôverné, napríklad citlivé informácie, bez toho, aby niečo z toho prezradil. V kontexte šifrovanie s nulovými znalosťamiBezpečnosť s nulovými znalosťami zaisťuje, že údaje používateľa sú zašifrované predtým, ako používateľ komunikuje s poskytovateľom služieb. Údaje možno dešifrovať aj pomocou jedinečného kľúča, ktorý poskytovateľ nepozná – tento kľúč má iba používateľ.
Vďaka šifrovaniu s nulovými znalosťami teda nikto okrem používateľa nemá prístup k svojim údajom v ich nezašifrovanej podobe. V ideálnom prípade by nikto okrem používateľa nemal mať prístup k údajom v zašifrovanej forme, ale krajiny v rámci Aliancie piatich očí, deviatich očí a 14 očí povedal by to inak.
V kybernetickej bezpečnosti možno nulové znalosti považovať za súčasť modelu nulovej dôvery, ako to umožňuje akcie, ako je autentifikácia, ktoré sa majú vykonať bez odhalenia akýchkoľvek citlivých informácií o používateľov.
Nulová dôvera vs. Zero-Knowledge: Podobnosti a rozdiely
Ak je heslom konceptu nulovej dôvery „nikomu nedôveruj“, slogan nulovej znalosti je „nič nevieme“. Aj keď tieto dva koncepty majú spoločný účel – teda celkové posilnenie bezpečnosti údajov a kybernetickej bezpečnosti – nefungujú rovnakým spôsobom.
V kybernetickej bezpečnosti možno nulové znalosti považovať za súčasť modelu nulovej dôvery, ako to umožňuje akcie, ako je autentifikácia, ktoré sa majú vykonať bez odhalenia akýchkoľvek citlivých informácií o používateľov.
Model s nulovými znalosťami možno využiť na ochranu súkromia údajov, keďže poskytovateľ služieb má o ňom „nulové znalosti“. Vo väčšine prípadov tieto údaje pozostávajú z hesiel, prihlasovacích údajov a iných citlivých informácií. Mnoho typov dvojfaktorovej autentifikácie (2FA) a viacfaktorovej autentifikácie (MFA) využíva nulové znalosti model, čo znamená, že nebudete musieť zdieľať tajomstvá ani poskytovať žiadne citlivé informácie na overenie vašich údajov identity.
2FA aj MFA sú kritickými komponentmi rámca nulovej dôvery, ktorý je ďalej podporovaný šifrovaním a segregáciou údajov. Poskytovateľ služieb, ktorý využíva bezpečnostné rámce s nulovými znalosťami aj s nulovou dôverou, si môže byť istý svojimi systémami sú chránené pred vnútornými a vonkajšími hrozbami a že v prípade údajov nebudú ohrozené žiadne citlivé údaje porušenie.
Nulová dôvera vs. Nulové znalosti: Čo je dôležitejšie pre kybernetickú bezpečnosť?
Neexistuje žiadny dôvod, prečo by si profesionáli v oblasti kybernetickej bezpečnosti mali vyberať medzi bezpečnostnými konceptmi s nulovou dôverou a nulovými znalosťami. Po zistení, ako tieto dve veci fungujú v kybernetickej bezpečnosti, môžeme vidieť nulové znalosti ako kritickú súčasť bezpečnostného modelu s nulovou dôverou.
Mali by sme tiež poznamenať, že hoci sa implementácia konceptu nulovej dôvery môže zdať teoreticky jednoduchá, v praxi sa to ľahšie povie, ako urobí.