假設網(wǎng)絡是敵對的，驗證和授權所有訪問數(shù)據(jù)或服務的連接。

　　介紹

　　構建具有強大身份驗證方法的系統(tǒng)并構建應用程序以接受來自策略引擎的訪問決策。

　　在評估與訪問請求相關的風險時，身份驗證和授權決策應考慮多種信號，例如設備健康狀況、設備位置、用戶身份和狀態(tài)。

　　多因素

　　MFA是零信任架構的要求。

　　這并不意味著用戶體驗一定很差。在現(xiàn)代設備和平臺上，可以通過良好的用戶體驗實現(xiàn)強大的MFA。例如，僅當用戶和設備的信心下降時才觸發(fā) MFA。某些身份驗證應用程序會在受信任的設備上提供推送通知，因此用戶無需為鍵入代碼或查找硬件令牌而煩惱。

　　值得注意的是，并非所有身份驗證因素對用戶都是可見的，其中一個因素可能是使用內(nèi)置 FIDO2 （線上快速身份驗證服務）平臺身份驗證器的加密支持的無密碼登錄。

　　可用性

　　重要的是，強身份驗證不會妨礙服務的可用性。例如，僅當請求具有較高影響時才提示其他身份驗證因素，例如請求敏感數(shù)據(jù)或特權操作，包括創(chuàng)建新用戶。應考慮 SSO，以減少 MFA 的摩擦。

　　應考慮采用基于風險的方法來減輕額外身份驗證因素造成的更大影響。在上面的示例中，如果用戶的置信水平足夠高，則可以避免其他因素。

　　無密碼身份驗證（例如 FIDO2）是一種理想的解決方案，因為它提供了強大的安全性和出色的用戶體驗?？紤]實施無密碼身份驗證，以在用戶所有服務中獲得強大、一致和積極的用戶體驗。

　　服務到服務

　　服務之間的請求也需要進行身份驗證。通常是使用 API 令牌、OAuth 2.0 或公鑰基礎設施 （PKI）等框架來實現(xiàn)的。

　　使用相互身份驗證，因此用戶可以確信通信的兩個服務都是真實的。這是構建允許列表時的關鍵，以根據(jù)身份授權服務之間的連接。