零信任网络的概念建立在以下5个基本假定之上。

• 网络无时无刻不处于危险的环境中。

• 网络中自始至终存在外部或内部威胁。

• 网络的位置不足以决定网络的可信程度。

• 所有的设备、用户和网络流量都应当经过认证和授权。

• 安全策略必须是动态的，并基于尽可能多的数据源计算而来。

传统的网络安全结构把不同的网络（或者单个网络的一部分）划分为不同的区域，不同区域之间使用防火墙进行隔离。每个区域都被授予某种程度的信任，它决定了哪些网络资源允许被访问。这种安全模型提供了非常强大的纵深防御能力。比如，互联网可访问的Web服务器等高风险的网络资源，被部署在特定的区域（一般称为“隔离区”, DMZ），该区域的网络流量被严密监控和严格控制。这是一种常见的网络安全架构，如图1-1所示。

零信任模型彻底改变了这种安全架构。传统的网络分区与隔离安全模型在过去发挥了积极作用，但是现在却疲于应对高级的网络攻击。传统的安全模型主要有以下缺点。

• 缺乏网络内部的流量检查。

• 主机部署缺乏物理及逻辑上的灵活性。

• 存在单点故障。

需要关注的是，如果基于网络位置划分区域的需求消失了，那么对VPN的需求也就消失了。VPN的作用是对用户进行身份认证并分配IP地址，然后建立加密的传输隧道。用户的访问流量通过隧道传输到远程网络，然后进行数据包的解封装和路由。或许人们从来没有想过，在某种程度上，VPN是一种不会遭人怀疑的后门。

如果网络的位置对于网络安全失去价值，那么诸如VPN等网络安全设备也会失去其原有的价值。当然，这也迫使我们把安全控制的实施点尽可能地前推到网络边缘，这同时也减轻了网络核心设备的安全责任。此外，大多数主流的操作系统都支持状态防火墙，交换和路由技术的进展也为在网络边缘部署高级功能创造了机会。将所有这些改变带来的收益汇集在一起，得出一个结论：是时候进行网络安全架构的范式转换了。

利用分布式策略实施和应用零信任原则，可以构建如图1-2所示的网络安全架构。

零信任的控制平面

零信任架构的支撑系统称为控制平面，其他部分称为数据平面，数据平面由控制平面指挥和配置。访问受保护资源的请求首先经过控制平面处理，包括设备和用户的身份认证与授权。细粒度的控制策略也在这一层进行，控制平面可以基于组织中的角色、时间或设备类型进行授权。

如果用户需要访问安全等级更高的资源，那么就需要执行更高强度的认证。一旦控制平面完成检查，确定该请求具备合法的授权，它就会动态配置数据平面，接收来自该客户端（且仅限该客户端）的访问流量。此外，控制平面还能够为访问请求者和被访问的资源协调配置加密隧道的具体参数，包括一次性的临时凭证、密钥和临时端口号等。

虽然上述措施的安全强度有强弱之分，但基本的处理原则是不变的，即由一个权威的、可信的第三方基于多种输入来执行认证、授权、实时的访问控制等操作。