A grandes rasgos, la cero confianza consiste en que los dispositivos conectados, como computadores o teléfonos inteligentes, no deben ser considerados confiables, independientemente de que estos estén vinculados y verificados desde una red corporativa.
Este modelo exige una estricta verificación de autenticidad para cada persona y dispositivo que intente acceder a recursos de una red privada, independientemente desde donde este o estos, se intenten conectar.
[1] En la mayoría de entornos empresariales, las redes corporativas consisten en la suma de varios segmentos de red interconectados, infraestructura y servicios basados en la nube, conexiones a ambientes remotos, y cada vez a más conexiones no convencionales TI, como a los dispositivos IoT.
El enfoque tradicional de dispositivos confiables dentro de un perímetro corporativo, o de dispositivos conectados mediante una VPN, cobra menos sentido en ambientes tan altamente distribuidos y variados.
Mientras que, por otro lado, el enfoque de cero confianza promueve la mutua autenticación, incluyendo la verificación de identidad e integridad de los dispositivos, independientemente de la ubicación, y garantizando el acceso a las aplicaciones y servicios estribando en la confianza de la identidad del dispositivo, en combinación con la autenticación del usuario.