零信任模式是隐私的终极选择，但很少是一种选择。但这并不一定是零信任或完全信任。中间的信任模型有一个滑动比例。这就是为什么这些模型也有价值。

信任。它是商业的动力。消费者和企业购买他们信任的品牌。但在“软件即服务”的世界里，信任远不止是品牌声誉。

我们自然倾向于相信我们同行信任的品牌。这就是为什么大公司能够在产品停滞不前的情况下继续销售软件。但即使是大公司也需要提防他们脚下的暗门，以及能把他们最大的支持者变成最大的批评者的东西:隐私。

隐私正成为消费者购买产品的原因，以“有机”的“自由贸易”和“无残酷的”标签在过去十年中有驱动产品销售的方式.-Gartner.

zoom最近发现了这个困难的方式当用户了解到他们的安全和隐私期望没有得到满足时。

信任模型的目的是什么？

普通级别的信任模型可以应用于许多不同的设置。在加密设置中，非常明确攻击模型这是理解安全协议中不同参与者可以学习或不能学习的简单方法。它们有类似于“自适应选择密文攻击(CCA2)”的名称。在根据需要评估加密协议时，这些工具非常有用，但我们在讨论SaaS产品时缺乏类似的方法。

具有共同语言和定义，使数据隐私需求和需求更容易进行对话。不同的需求导致不同的模型，并且有一种丰富的频谱可根据用例选择。

例如，客户托管密钥（CMK，AKA带上自己的钥匙或逐个），它是正确的，是一个信任且验证模型。这意味着客户可以控制主密钥或密钥，以便解密其服务提供商保存的数据，并且在访问其数据时可以看到它们的数据。未经客户的持续同意，服务提供商无法访问此数据。

什么是SaaS信任模型？

今天有许多型号广泛使用，尽管它们通常不被命名。值得注意的是，我们有时会根据数据或服务水平看到模型的混合。例如，如果您为其Salesforce Shield功能支付溢价，Salesforce会提供更强大的信任模型。

以下是我们从最常见的最常见的型号：

• 全信任：这是SaaS、IaaS和PaaS的默认和经典状态:服务提供商拥有对客户所有数据的完全访问权，但承诺不会滥用这种特权。服务提供商以服务条款和隐私政策的形式进行合同承诺。服务是服务是“全信任”的最重要的测试是服务的管理员是否可以访问客户的数据。因此，即使数据被加密，如果加密对管理员透明或者他们可以访问键，则是全信任模型。
• 信任但要验证：此模型类似于全方位信任，除非客户保留了对敏感数据的访问的独立审计记录功能，因此他们知道谁正在访问它，何时何地。此外，客户还能够从服务提供商撤消对其数据的访问，而无需依赖服务提供商来删除数据。换句话说，提供商处的员工或系统可以看到所有数据，但客户在访问它时知道并可以随时关闭该访问。Salesforce Shield产品是一个例子信任但要验证由该产品保护的数据的模型。
• 半信任：半受信任的提供者促进了对数据的访问(或解密或访问数据的能力)，但不能解密数据或授予访问权本身。半信制的服务通常可以访问元数据，用户通常不是匿名的。半信任的播放器无法访问数据（这方面的零信任），但是与其他操作相信，例如撤销。例如，半信料服务器可能会保存加密加密键并将其交出来，但不会有办法解密这些键，也不会确定谁可以。这是一个重要的模型，当看零信任数据架构时，在匿名不重要或不允许的环境中经常与“零信任”一样好。
• Split-trust:分裂信任安全模型需要两方或多方协作才能看到数据。此模型的一个常见实现对数据进行加密，并将密钥提供给一个实体，将加密数据提供给另一个实体。每个实体都承诺不与其他实体共享其数据。我们有时会看到人们讨论单个实体中的分裂信任模型，其中信任在服务器之间传播。在服务器级别上，这可能是正确的，但在服务提供者级别上，就不是这样了。因此，在内部服务器之间分割信任的服务提供者不能说它满足SaaS分割信任模型，因为服务提供者中的管理员仍然可以访问数据，而不需要第三方的协作。注意:如果客户持有他们自己的密钥，那就不是分裂信任模型，因为分裂信任意味着客户信任两个或更多方，并相信这些方不会串谋。如果数据是由服务提供者在其服务器上解密并看到的，那么客户持有的密钥可以是“信任-但验证”模型，如果数据是由客户解密的，则可以是零信任模型。
• Zero-trust:如果服务提供商保存加密数据，但不能访问服务器上的解密数据，并且对其保持的数据有限或没有见解，则模型是零信任。我们有时会打电话给这个零能见度或零信任数据为了避免与网络级零信任概念混淆。在零信任数据场景中，服务提供者没有密钥，不会解密数据，永远不会看到或无法看到其服务器上的解密数据。然而，客户或客户的雇员可以在他们的客户端(浏览器、移动应用程序或其他)或他们自己的服务器上通过解密来查看数据。
• Ephemeral-trust:当服务提供者在其服务器上看到一些数据，但在持久存储之前对其进行加密时，我们就有了一个短暂信任模型。数据存储时这是有用“有毒”——也就是说,私人用户生成内容像聊天记录或电话会议记录,监管数据(健康、金融、内幕交易等),内部服务提供者需要一次性访问数据向客户提供承诺的价值。例如，在音频的情况下，服务可能在其服务器上生成一个文本，然后加密文本和源音频，这样服务提供者就不能再访问它。这有助于服务提供商在遭遇黑客攻击或过于好奇的管理员的情况下将其暴露最小化。

很多情况下，IronCore的客户都是信任模式的混合体。例如，附件可能遵循零信任模型，而敏感或受管制的数据遵循信任-但-验证模型。出于这些模型的目的，我们通常会忽略客户认为不是私有的数据。

询问正确的问题

也许以共同语言，如果我们使用其服务，我们可以根据我们必须授予多少信任的信任，更好地评估服务提供商。正确的答案取决于我们委托的数据，难以来自奇怪的管理员或黑客，潜在的监管处罚以及更多的危害。但是，我们可以更好地评估与SaaS提供商合作的风险。

值得作为潜在客户向服务提供商询问的问题:

• 你们公司有谁可以访问我的敏感数据吗?
• 如果是这样，可以访问持久吗？
• 如果没有，你对那些你看不到的数据了解多少?你有什么元数据?
• 有没有办法让我知道你们公司的某个人什么时候访问我的数据，即使那个人是数据库或系统管理员?
• 您是否有任何服务提供商(例如，Amazon Web Services)的管理员可以查看我的数据(例如，如果他们受到执法命令或任何其他原因的强迫)?
• 您是否提供了加密数据的方法，这样我可以握住键？

这些问题是评估信任的起点。不幸的是，在今天的大多数情况下，这些问题的答案意味着您必须完全信任服务提供者。但是，随着SaaS的客户在我们提出的问题和我们如何评估业务方面的成熟，越来越多的SaaS公司将通过减少使用他们服务所需的盲目信任来提高他们的信任游戏。