零信任作为一种网络安全管理哲学，近年来渐渐有了一统江山之势，包括“产学研用管”在内的整个安全业界基本上在零信任这个问题上达成了共识，不信大家可以看看等级保护2.0的原文，你就会发现，那里处处体现着零信任思想的光芒。

关于零信任究竟是什么，网络上的资料很多。但是，“零信任”这个词除了是一个技术词汇之外也是一个市场词汇，被各个安全公司从自己的视角各自解读，在这个过程中不可避免地会夹带一些私货，从而造成一些混乱和误解，所以我们今天来谈谈零信任不是什么，也许对于帮助大家更好地理解零信任会起到一些积极的作用。

首先，零信任是一个方法论，它定义了一种安全管理的新的视角。它不是一个产品或者说一个技术。也就是说您买不到一个叫零信任的产品，您只能买到帮您实现零信任的某种要求的产品。

其次，零信任是一个过程，或者说是一个方向。它不是一个静态的标准，或者说状态。也就是说，你不能说我们今天来做一个零信任的项目，做过之后我们就拥有了零信任。你只能说通过一期项目，我们在一定的范围内，在一定的水平上，实现了零信任的某些能力。比如说，我们能够在网络层面实现数据中心流量的全面可视和可控，但是网络层之上还有应用层，你看到了网络层面的主体和通信关系，但是你还没有理解应用层面的服务主体和应用访问关系。而在应用层之上还有更深层次的业务层面的分析与控制问题。所以说，零信任的建设应该是一个持续的，逐渐深入，逐渐优化的过程，也是一个在安全与业务之间的一个平衡的过程。

最后，零信任是个广泛适用的方法论，也就是说它可以应用于整个计算架构的各个方面，在每一个细分的环境，每一个具体维度上都可以利用零信任的方式来做管理，而不是说零信任只能像谷歌那样将之应用于办公网，面向员工的身份进行管理。我们可以看一下Forrester的这张图：

大家可以看到，零信任可以作用于人，设备，网络，工作负载等所有有数据流动的主体上。事实上，相较于办公网而言，数据中心是更容易实现零信任的场景，也是有着更多核心业务和关键数据的地方，因此可以成为我们开展零信任建设的起点。