The Open Group会员可点击此处，登陆官网图书馆免费下载。

非会员的读者可扫描二维码，登陆The Open Group官方微店购买电子书。

本文档的受众是商业、安全和IT领域的领导者，即高管们。

零信任戒律建立在零信任核心原则之上，提出了一份不可协商的零信任标准清单。把这个清单放在一起时，我们想清楚地定义什么是零信任、什么不是。有了明确的定义，社区就可以开始构建遵守这些戒律的框架和解决方案。

在理想的情况下，这些戒律经得起时间的考验。确保这种长期性的一个重要组成部分是将戒律作为可以测试的断言，缺少任何戒律标记都会反映对我们所看到的零信任定义的偏离。实际上，组织经常做出不遵循这些戒律的决定，即便这些戒律旨在指导所有当前和未来的决定。因此，我们相信零信任最终是一种业务赋能者，如何理解并落地这些戒律，也就成为了企业的重中之重。

A1: 安全就是不断进行攻防博弈和攻防态势的不断变化。

在边界安全模型中，网络位置决定了信任程度。在安全区域边界外的用户默认是不可信的(不安全的)，边界外用户想要接入边界内的网络需要通过防火墙等安全机制；安全区域内的用户默认都是可信的(安全的)，对边界内用户的操作不再做过多监测。但是这导致每个安全区域内部存在过度信任的问题。

新冠疫情以来，远程办公、多方协同办公等成为常态，带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备、各种人员接入带来了设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击带来了边界安全防护机制被突破的风险，传统的“纵深防御+边界防护”这类基于边界的安全防护体系因为边界的模糊而渐渐失效，难以适应企业的快速增长及业务的快速变化。这些都对传统的边界安全理念和防护手段提出了挑战，市场亟需有更好的安全防护理念和解决思路。

A2：零信任中的“零(Zero)”可能会引起歧义。零并不是字面上的没有信任，而是关于“零”固有的或隐含的信任。零信任是指谨慎地建立信任基础，提升信任，最终在预设的时间内允许合理级别的访问。也许称零信任为“赢得信任(Earned Trust)”或“零隐式信任(Zero Implicit Trust)”更为合适。

A3: 现在市场上有不少产品自诩是零信任产品，但零信任本身更多指的是一组理念。零信任戒律就是这样一些标准，我们可以遵循这些标准构建框架和解决方案。对于这些原则，一部分可以在产品设计中体现，一部分则需要我们的管理变更。零信任的实施不是一两个产品的部署，更多是观念上的变化。