零信任將網(wǎng)絡視為敵對的。必須在用戶、設備和服務中建立信任。

　　介紹

　　不要相信設備與其訪問的服務之間的任何網(wǎng)絡，包括本地網(wǎng)絡。通過網(wǎng)絡進行通信以訪問數(shù)據(jù)或服務，應使用安全傳輸，例如TLS。應配置設備以防止本地網(wǎng)絡上存在的攻擊。這包括 DNS 欺騙、中間人攻擊和未經(jīng)請求的入站連接。

　　針對基礎網(wǎng)絡服務（例如 DNS）的攻擊通常只能通過封裝在安全傳輸中來緩解。例如，應該確保用戶訪問的服務受到經(jīng)過身份驗證和加密的協(xié)議的保護。否則，它們可能仍需要受到現(xiàn)有解決方案的保護，例如公司VPN。圖片

　　無論選擇保護網(wǎng)絡服務，都應該能夠應用適當?shù)谋O(jiān)控。

　　強制執(zhí)行設備使用政策

　　在零信任架構中，網(wǎng)絡流量可能無法通過隧道返回中心點，這意味著無法檢查和監(jiān)控 Internet 流量。因此，需要在設備上實施強制執(zhí)行 Internet 瀏覽策略的傳統(tǒng)方法——阻止惡意域和未經(jīng)授權使用網(wǎng)絡協(xié)議。惡意 URL 和網(wǎng)絡釣魚檢測等安全 Web 瀏覽功能應被視為設備安全功能。

　　如果無法使用設備安全功能強制執(zhí)行 Internet 瀏覽策略，則可能必須通過托管云服務（例如托管云代理）路由 Internet 流量。

　　使用這些服務時，請確保考慮它們的可用性和安全狀況。云安全原則可以幫助解決這個問題。

　　一般網(wǎng)絡衛(wèi)生

　　雖然網(wǎng)絡應該被視為敵對和不受信任的，但保持網(wǎng)絡上的網(wǎng)絡衛(wèi)生仍然很重要。例如，監(jiān)控本地網(wǎng)絡的未授權主機和修補網(wǎng)絡組件。這將確保網(wǎng)絡性能良好且可用。