Zero Trust Security to model bezpieczeństwa, znany również jako architektura Zero Trust (ZTA), dostęp do sieci Zero Trust (ZTNA) i bezpieczeństwo bez granic. Główną zasadą modelu Zero Trust jest podejście "nigdy nie ufaj, zawsze weryfikuj", co oznacza, że użytkownicy i urządzenia nie powinni być domyślnie uznawani za zaufane, nawet jeśli są podłączeni do sieci z uprawnieniami, takiej jak firmowa sieć LAN, oraz nawet jeśli byli wcześniej zweryfikowani. ZTA realizuje się poprzez ustanowienie silnej weryfikacji tożsamości, sprawdzanie zgodności urządzenia przed przyznaniem dostępu i zapewnienie dostępu do wyłącznie wyraźnie autoryzowanych zasobów na zasadzie najmniejszych uprawnień.
Model Zero Trust zakłada, że tradycyjne podejście – ufanie użytkownikom i urządzeniom w ramach notorycznego "perymetru korporacyjnego" lub użytkownikom i urządzeniom połączonym przez VPN – nie jest wystarczające w skomplikowanym środowisku sieci korporacyjnej. Podejście Zero Trust opowiada się za wzajemną autentykacją, włączając w to sprawdzanie tożsamości i integralności użytkowników oraz urządzeń bez względu na lokalizację, oraz udzielanie dostępu do aplikacji i usług na podstawie pewności co do tożsamości użytkownika i urządzenia oraz stanu zdrowia urządzenia w połączeniu z uwierzytelnieniem użytkownika.
Architektura Zero Trust została zaproponowana do stosowania w konkretnych obszarach, takich jak łańcuchy dostaw. Zasady Zero Trust mogą być stosowane do dostępu do danych oraz zarządzania danymi, prowadząc do bezpieczeństwa danych Zero Trust, gdzie każde żądanie dostępu do danych musi być dynamicznie uwierzytelniane i zapewniać dostęp do zasobów na zasadzie najmniejszych uprawnień.
Termin "zero trust" został ukuty przez Stephena Paula Marsza w jego doktoracie na temat bezpieczeństwa komputerowego na Uniwersytecie w Stirling w kwietniu 1994 roku. W odpowiedzi na atak chińskiego APT o nazwie Operation Aurora w 2009 roku, Google zaczął implementować architekturę Zero Trust, określaną jako BeyondCorp. W 2010 roku termin modelu zero trust został użyty przez analityka Johna Kindervaga z Forrester Research do określenia bardziej rygorystycznych programów cyberbezpieczeństwa i kontroli dostępu w korporacjach. Jednakże dopiero prawie dekadę później architektury Zero Trust stały się powszechne, częściowo dzięki zwiększonemu przyjęciu usług mobilnych i chmurowych.
W 2018 roku prace prowadzone w Stanach Zjednoczonych przez badaczy ds. cyberbezpieczeństwa w NIST i NCCoE doprowadziły do publikacji NIST SP 800-207 – Architektura Zero Trust. Publikacja ta definiuje Zero Trust (ZT) jako kolekcję Microsoft Dynamics 365 może wspierać realizację strategii bezpieczeństwa opartej na modelu Zero Trust poprzez zapewnienie zaawansowanych narzędzi do zarządzania tożsamością i dostępem, a także funkcji bezpieczeństwa danych i aplikacji.
