零信任將網(wǎng)絡(luò)視為敵對的。必須在用戶、設(shè)備和服務(wù)中建立信任。

　　介紹

　　不要相信設(shè)備與其訪問的服務(wù)之間的任何網(wǎng)絡(luò)，包括本地網(wǎng)絡(luò)。通過網(wǎng)絡(luò)進(jìn)行通信以訪問數(shù)據(jù)或服務(wù)，應(yīng)使用安全傳輸，例如TLS。應(yīng)配置設(shè)備以防止本地網(wǎng)絡(luò)上存在的攻擊。這包括 DNS 欺騙、中間人攻擊和未經(jīng)請求的入站連接。

　　針對基礎(chǔ)網(wǎng)絡(luò)服務(wù)（例如 DNS）的攻擊通常只能通過封裝在安全傳輸中來緩解。例如，應(yīng)該確保用戶訪問的服務(wù)受到經(jīng)過身份驗(yàn)證和加密的協(xié)議的保護(hù)。否則，它們可能仍需要受到現(xiàn)有解決方案的保護(hù)，例如公司VPN。圖片

　　無論選擇保護(hù)網(wǎng)絡(luò)服務(wù)，都應(yīng)該能夠應(yīng)用適當(dāng)?shù)谋O(jiān)控。

　　強(qiáng)制執(zhí)行設(shè)備使用政策

　　在零信任架構(gòu)中，網(wǎng)絡(luò)流量可能無法通過隧道返回中心點(diǎn)，這意味著無法檢查和監(jiān)控 Internet 流量。因此，需要在設(shè)備上實(shí)施強(qiáng)制執(zhí)行 Internet 瀏覽策略的傳統(tǒng)方法——阻止惡意域和未經(jīng)授權(quán)使用網(wǎng)絡(luò)協(xié)議。惡意 URL 和網(wǎng)絡(luò)釣魚檢測等安全 Web 瀏覽功能應(yīng)被視為設(shè)備安全功能。

　　如果無法使用設(shè)備安全功能強(qiáng)制執(zhí)行 Internet 瀏覽策略，則可能必須通過托管云服務(wù)（例如托管云代理）路由 Internet 流量。

　　使用這些服務(wù)時(shí)，請確?？紤]它們的可用性和安全狀況。云安全原則可以幫助解決這個(gè)問題。

　　一般網(wǎng)絡(luò)衛(wèi)生

　　雖然網(wǎng)絡(luò)應(yīng)該被視為敵對和不受信任的，但保持網(wǎng)絡(luò)上的網(wǎng)絡(luò)衛(wèi)生仍然很重要。例如，監(jiān)控本地網(wǎng)絡(luò)的未授權(quán)主機(jī)和修補(bǔ)網(wǎng)絡(luò)組件。這將確保網(wǎng)絡(luò)性能良好且可用。