1.5 信任從哪里來

要考慮邊界安全模型之外的其他方案，必須對什么可信、什么不可信有深入認識。信任等級決定了安全協議必須達到什么樣的保護強度，但安全協議的保護強度很少能夠達到要求，因此明智的做法是盡可能降低信任等級。一旦在系統中內置信任，就很難將其消除。

顧名思義，零信任網絡是完全不可信的網絡，我們經常與這樣的網絡打交道，它就是互聯網。在安全方面，互聯網給我們帶來了一些寶貴的經驗和教訓。顯然，對于面向互聯網的服務器，確保其安全的方式所帶來的困擾與僅供本地訪問的服務器有天壤之別，這是為什么？另外，如果能消除或只是減輕這樣的困擾，但需要以犧牲安全為代價，是否值得？

在零信任模型中，像對待面向互聯網的主機那樣對待所有的主機：假定它們所在的網絡已被攻陷，面臨危險。只有基于這樣的考慮，才能著手建立安全通信機制。大多數管理員搭建或維護過面向互聯網的系統，因此對如何保護IP通信，使其難以被攔截或篡改（當然還有如何確保主機安全）有一定的認識。自動化讓我們能夠在基礎設施中的所有系統中實現這種程度的安全。