• 用户和设备的身份
• 利用法式治理和日志纪录
• 通过技术节造和加密执行
• 通过监控和自动化进行丰硕

领域 1：用户和设备的身份

零信赖模型的一个关键职能是确保用户或实体拥有适当的身份验证级别。接见分歧的资源可能必要分歧强度的身份验证，具体取决于利用法式的敏感水平。

对于设备，您相识的信息越多，就越能治理好风险。对于用户设备，请问这样的问题：它以前是否接见过利用法式

？它是否切合根基的卫生要求

？对于物联网设备等非用户设备，请成立默认设置，例如回绝设备接见互联网并纪录这些设备被允许接见的资源。

领域 2：利用法式治理和日志纪录

为了实现用户和利用法式之间的安全衔接，请对网络中的利用法式进行分类，蕴含名称和所有者、数据敏感度和业务关键性级别、业务用户和托管地位等具体信息。筹备破费大量精力网络信息，蕴含有关未经核准的 SaaS 利用法式和用户界说的利用法式的信息。

相识利用法式后，成立权限造义哪些用户能够在哪个级别接见它们，并决定若何维持这些权限的最新状态。最后，成立日志纪录规定，蕴含纪录什么、谁能够接见日志以及若何备份日志并确保它们无法被批改。

领域 3：法律

相识用户身份及其权限后，您必须强造执行适当的接见权限。在零信赖环境中强造接见的设备的常用术语蕴含节造器、代理、身份感知代理、微分段甚至防火墙。

微分段是零信赖中一个出格沉要的概想，由于它可能在基础架构中的肆意两个工作负载之间搁置安全服务，从而允许您隔离工作负载并强造执行最终用户对工作负载的接见或从一个工作负载到另一个工作负载的接见

天堑在零信赖环境中也持续阐扬作用，但它们应该越发隔离，以预防网络中的横向移动，从而减缓攻击并迫使攻击者留下更多痕迹。加密传输中的所罕见据可维持机密性。

领域 4：丰硕

由于用户风险级别会随功夫变动，因而监控和纪录至关沉要。恶意内部人员是我们最危险的威胁行为者之一，但无论攻击者是内部攻击者还是表部攻击者，网络检测和响应 (NDR) 结合用户和实体行为分析 (UEBA) 都能够援手信息安全团队急剧找到他们。

威胁谍报是另一项有价值的补充，它能够回覆以下问题：最新的零日缝隙是什么

？或者，哪些缝隙被大量利用

？设计您的零信赖环境以提取威胁谍报并确定哪些用户和/或设备受到影响。