零信任的实施要求对尝试访问网络或应用程序的每个人或设备进行严格的身份验证。无论设备或用户是否已经在网络边界内，都需要进行这种验证。某个事件可能触发用户或设备身份验证，例如正在使用的设备、位置、登录频率或尝试登录失败次数发生变化。

保护从识别您的保护表面开始，保护表面基于数据、应用程序、资产或服务，通常缩写为 DAAS：

建立这种保护表面有助于您找出需要保护的确切内容。这种方法比试图保护攻击面更好，攻击面的大小和复杂性会不断增大。

零信任策略指通过形成微边界来调节关键数据和组件周围的流量。在微边界边缘，零信任网络采用分段网关监控人员和数据的进入。它采用的安全措施旨在彻底审查用户和数据，然后使用第 7 层防火墙和 Kipling 方法授予访问权限。 

第 7 层规则指检查数据包的有效负载，以查看数据包是否与已知类型的流量相匹配。如果数据包包含的数据不符合第 7 层规则的参数，则阻止访问。Kipling 方法通过询问有关进入和试图进入网络之人的六个问题来挑战尝试进入的有效性：是谁？ 何事？ 何时？ 何地？ 原因？ 方式？ 如果对任何问题的回答引起警觉，则不授予访问权限。

多重身份验证 (MFA) 通过要求用户提供多个凭据来验证其身份。而使用传统的密码输入方法，不法分子只需找出用户名和密码，这通常很容易被黑客获取。使用 MFA 之后，用户必须提供多种身份识别方法。例如，用户可能需要同时使用 U 盘和密码。如果没有这两种因素，用户就无法获得访问权限。

多重身份验证增加了特定用户访问所需的凭据数量，有助于实现零信任网络。使用 MFA 可以将黑客攻击的难度增加两倍、三倍、四倍或更多。

为确保每个端点都由合适的人控制，需要进行端点验证。端点验证强化了零信任方法，因为它要求用户和端点本身都向网络提供凭据。每个端点有自己的身份验证层，用户需要在获得访问权限之前证明其凭据。 

然后，为使网络上的组件或程序允许端点访问，它向端点发送验证。然后，用户在设备上做出回应。由端点发出的数据用于检查其有效性，然后经过成功的接收和传输之后，设备获得“可信”状态。

统一端点管理 (UEM) 为管理员提供一套可用于验证多个端点的工具，允许他们中心化管理 IT 基础设施的方式。端点检测和响应 (EDR) 验证端点的安全性。EDR 的作用类似于综合反病毒软件。它扫描端点，识别威胁，然后采取措施保护端点，并通过扩展保护网络的其余部分。

微分段指在网络内创建一些区域，隔离和保护可能包含敏感信息或为恶意攻击者提供访问便利的网络元素。微分段对零信任安全方法有益，因为一旦对安全区域进行了微分段，就提供了威胁保护。此外在区域周围形成屏障的防火墙或过滤器还可以阻止威胁离开此区域，从而保护了网络的其余部分。

最小权限访问是指允许用户和设备仅访问那些对履行其职责必要的资源。最低权限访问对零信任设置有意，因为它限制了敏感数据或基础设施的入口点数量。最小权限访问还可以节省时间和资源，因为只需采用更少的 MFA 措施，这限制了必须授予和管理的身份验证凭据的数量。

零信任网络访问 (ZTNA) 是零信任访问的一个元素，它主要控制对应用程序的访问。 ZTNA 扩充了 ZTA 的工作原理，它在每次应用程序会话之前验证用户和设备，以确认他们是否符合访问该应用程序的组织策略。ZTNA 支持多重身份验证，以保持最高级别的验证。

ZTNA 概念的一个关键要素是用户的位置独立性。 无论用户在网络中还是在网络外，应用程序访问策略和验证过程都是相同的。在网用户并不比网络外的用户拥有更多的信任。

对于网络外的用户，ZTNA 采用安全的加密隧道，将用户设备连接到 ZTNA 应用程序代理点。 这种隧道是自动的，这使其比传统的 VPN 隧道更容易使用。用户体验的改善正促使许多企业转向 ZTNA，以取代 VPN 访问。

ZTNA 应用程序代理点不仅提供透明、安全的远程访问，而且还有其他好处。 通过将应用程序置于代理点之后，ZTNA 就可以将其从互联网中隐藏起来。 只有经过验证的用户才能访问这些应用程序。