零信任代表了一种以保护数据资源为核心的网络安全范式,其体系结构建立的前提是从来不隐式授予信任,而必须持续地进行安全评估。零信任体系结构是一种新的安全访问控制模式,它在对数据和应用程序授予访问权限之前,对每个用户、设备和进程使用多层次精细的访问控制、强大的攻击检测和持续身份验证等安全机制。此体系结构是一种针对企业资源和数据安全的端到端方案,其中涉及的关键对象包括身份(人和非人的实体)、凭证、访问管理、操作、终端、主机环境和互联基础设施等。零信任体系结构初始的重点应该是将资源访问限制于有实际访问需求的主体并仅授予对应主体执行任务所需的最小权限(如读取、修改、删除等)。
基于零信任体系结构的安全产品和解决方案不应该仅在企业网络边界上进行粗颗粒度的访问控制,而应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细颗粒度的访问控制,并且访问控制策略需要基于对上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制,具有更好的弹性和自适应性。