零信任将网络视为敌对的。必须在用户、设备和服务中建立信任。

　　介绍

　　不要相信设备与其访问的服务之间的任何网络，包括本地网络。通过网络进行通信以访问数据或服务，应使用安全传输，例如TLS。应配置设备以防止本地网络上存在的攻击。这包括 DNS 欺骗、中间人攻击和未经请求的入站连接。

　　针对基础网络服务（例如 DNS）的攻击通常只能通过封装在安全传输中来缓解。例如，应该确保用户访问的服务受到经过身份验证和加密的协议的保护。否则，它们可能仍需要受到现有解决方案的保护，例如公司VPN。图片

　　无论选择保护网络服务，都应该能够应用适当的监控。

　　强制执行设备使用政策

　　在零信任架构中，网络流量可能无法通过隧道返回中心点，这意味着无法检查和监控 Internet 流量。因此，需要在设备上实施强制执行 Internet 浏览策略的传统方法——阻止恶意域和未经授权使用网络协议。恶意 URL 和网络钓鱼检测等安全 Web 浏览功能应被视为设备安全功能。

　　如果无法使用设备安全功能强制执行 Internet 浏览策略，则可能必须通过托管云服务（例如托管云代理）路由 Internet 流量。

　　使用这些服务时，请确保考虑它们的可用性和安全状况。云安全原则可以帮助解决这个问题。

　　一般网络卫生

　　虽然网络应该被视为敌对和不受信任的，但保持网络上的网络卫生仍然很重要。例如，监控本地网络的未授权主机和修补网络组件。这将确保网络性能良好且可用。