1.3.2　零信任是新的安全范式

零信任架构重新评估和审视了传统的边界安全架构，并给出3个基本思路：应该假设网络自始至终充满外部和内部威胁，不能仅凭网络位置来评估信任；默认情况下不应该信任网络内部或外部的任何人、设备、系统，需要基于认证和授权重构访问控制的信任基础；访问控制策略应该是动态的，应基于设备和用户的多源环境数据计算得来。

零信任对访问控制进行了安全范式上的改变，引导网络安全架构从“网络中心化”走向“身份中心化”。从技术方案层面来看，零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。

许多人误解了零信任的概念，以为零信任就是没有信任。其实，零信任是让信任边界最小化，减少网络攻击的爆炸边界。打个比方，旅客乘飞机出行，在机场经过层层安检，最后到达机场的登机口，这个区域就是最小的信任区，也就是零信任的边界。所以，零信任是把安全风险最小化的一种安全范式。零信任并不是安全的“银弹”。