1、瘦客户端:进程集中化,信息本土化
瘦客户端很早就被零信托计划策略采用,它集中了很多技术。像流媒体服务器、虚拟主机桌面技术和虚拟工作间技术。为了加强它的安全性,须将敏感数据集中在安全性能更好的设备里,远程设备只有通过瘦客户机的终端应用程序才能进行数据访问。由于这里需要与网络对接,所以瘦客户端不支持脱机使用。
2、瘦设备:出于设备安全考虑,使用备份数据
瘦形设备模式通过限制允许访问数据的设备类型来控制访问途径。智能手机等设备只能储存一定量的敏感信息。它们所储存的信息是复制而来的,原始数据则储存在数据中心。由于它们的体积、储存容量和处理速度的限制,应用程序被局限在电子邮件、小规模浏览网页和简单的网页程序中,根本谈不上通常的数据处理。而在薄形设备模式中,IT安全团队仍能控制设备的安全,即使他们并不具备设备的拥有权。
3、进程保护:在一个安全的环境中处理本地信息
瘦客户机模式中用户设备不储存敏感信息,但进程保护模式与此不同,它允许数据运行在非IT所有的设备中。一个独立进程环境中的敏感信息,即从用户的本地操作系统环境中分离出来——基本上是一个“气泡”——其中的安全和备份性能是由IT控制。进程保护模式有很多优势:本地执行、脱机操作、中央管理和一个高精度的安全控制,包括远程擦除功能。
4、数据保护:文档自我保护不受位置限制
鉴于以前的模式都设法通过控制运行环境来处理信息,而数据保护模式保护的是数据本身。如企业版权管理(ERM)这样的技术可直接访问文件规则。无论文件放置在何处,这些依靠密码方式强制执行的规则都是适用的,这是一个重要的优势。所有零信托数据安全战略里的模式保护数据都是最精细、最有效的,因为它的重点是信息,而不是信息的载体。
这种模式缺点之一是,ERM的每个终端都需要客户端代理。
5、跟踪:明确重要的信息移除的时间
零信托数据安全设计的第五种模式使用的是补充数据检测控制技术,用来检测、记录和选择性封杀物理或逻辑企业边界的敏感数据。数据泄漏防护(DLP)技术和较小程度的安全信息和事件管理(SIEM)工具,是这一模式的重要组成部分。