零信任并不意味着零信息共享

零信任安全模型假定网络内外的用户、数据和设备存在恶意意图。根据联邦首席信息安全官(Chief Information Security Officer)的说法，由于它可以限制对许多组织的运作至关重要的数据共享，因此它需要组织的技术和使命的合作才能正常工作。

零信任是一种用于保护现代数字商业环境的战略网络安全模型。这些越来越多的环境包括公共和私有云，SaaS应用，开发和维护，机器人过程自动化（RPA）等。零信任概念认为，无论它们是内部还是在网络边界内部，组织都不应该自动信任任何人。零信任模型要求尝试连接到组织系统的人员和个人必须在可以访问访问之前进行身份验证。零信任的主要目标是降低大多数组织在现代环境中暴露于网络攻击的风险。

在过去20年的大部分时间里,联邦政府分割系统和网络,但允许经过身份验证的用户“几乎看到一切。”,“如果他们有适当的访问”,你可以自由控制它”,这是一个大的一部分转换后联邦政府促进信息共享的9/11。“这对信息共享非常有用。从安全角度来看，这是一个挑战，因为对我们的对手来说，这是一个机会。”

零信任架构可以通过在授予或保留访问权限时，将设备和基于位置的数据以及其他信任指标添加到标准登录凭据中来帮助阻止这些对手。但是，如果安全框架也不考虑任务需求和其他上下文数据，那么这样做可能会损害预期的和重要的访问权限。

当信任为零时，机构将不得不重新评估谁可以在什么情况下访问哪些信息。与登录远程登录的员工相比，实际在联邦机构工作的员工可能有不同的访问权和特权。当员工（和相应的访问权限）的角色发生变化时，代理商也必须更好地跟踪和更新。

构建零信任所需的技术并不是特别复杂或难以实现。什么是棘手的是确保原子能机构有明确的访问规则。这些政策和决定“将来自理解数据和环境的任务方面，业务方面。”这意味着CIO和CISOS必须参与培训使命保安人员。