John Kindervag：当前的网络和安全设计模型是有缺陷的，其中内置了一个有缺陷的信任模型，因此才会有信任以及不信任的系统区分。

数据泄露和成功入侵都因黑客有效利用了这种有缺陷的信任模型作为他们攻击计划的组成部分。

信任是一种人类情感，但却被毫无理由地被植入数字系统中，这就是为什么我们必须（在数字系统中）摆脱“信任”这个词。因为我们将人类的东西放入数字世界中是不起作用的。

当我们说：“约翰在网络上”，但其实我并不在网络上的任何地方。我还没有办法缩小成一个亚原子粒子并通过公共互联网传输到ZOOM服务器上，以致最后出现在您的屏幕上。这在历史上从未发生在任何人身上，在电影中也很少发生。请记住，即使在《黑客帝国》电影中，他们也只是身体插上连接线。 所以重要的是要理解，人类并不是数据包，所以我们必须摆脱这种信任的概念。对数字系统来说，信任总是不好的。那么数字系统应该有多少信任呢？零。

因此，当有人告诉我，他们将使用零信任来使系统变得可信任时，我马上就知道他们其实不清楚零信任的概念以及零信任可以做什么。

John Kindervag：在二十一世纪初，我正在安装防火墙，而防火墙有信任和非信任的体系。它的工作原理是，如果一个数据包从不受信任的网络移动到另一个受信任的网络，它需要被防火墙规则校验。但是如果一个数据包从一个受信任的网络移动到另一个不受信任的系统，它就不需要任何防火墙规则校验。我发现这是错误的，因为这意味着，如果攻击者进入我们的网络，他们就可以轻松获取数据并将其发送到外部。

当我试图提出增加出站的约束规则时，我遇到了麻烦，因为人们会说系统不是这样工作的，信任模型不是这样工作的。因为当时我意识到信任模型有缺陷，所以最终我打算去Forrester研究中心，在这里我可以自由地说信任模型不起作用。

当时我作为一名普通的 IT 网络安全人员，并没有人会听我那一套，但是当我到了Forrester研究中心，我终于有了发言权，于是零信任这个概念应运而生。

零信任来自于我意识到防火墙中每个接口的信任级别、网络中每一个系统的信任等级最终都需要为零。所以很简单，在网络环境中应该有多少信任？零！因此我们称之为零信任。所以我们需要消除数字系统中”信任”的概念。人们太喜欢这个词了，但是无法很好定义它，也不知道它意味着什么。坦白说，这是一种非常可悲的现状。

John Kindervag：大家当然希望看到更高的采用率，但我们今天看到的采用率比我第一次提出零信任理念、在 Forrester 发表第一份报告、发表第一次演讲、开始设计第一个零信任信任网络的整体预期要高得多......

当时人们真的嘲笑我，甚至上前当面嘲笑我。今天事实上这件事情（零信任的应用普及）已经是一场全球运动，现在我正在与中国交谈，对我来说是一个惊喜，它给了我很大的信心。随着时间的推移，我们将能够对各种各样环境进行大规模的部署，我们将使世界一天一天变得越来越安全。

John Kindervag：零信任不是一种产品，而是一种战略，它使用产品来实现战略。它有意与技术解耦，首先是战略部分，然后根据战略以特定的方式使用技术。

提及 CSA 在这个领域的角色，CSA在零信任领域发挥着重要的作用，CSA促进组织间的对话，并向没有考虑过使用零信任的组织宣传（零信任概念）。这些组织认为已经上云了，而云上系统不需要零信任。

但坦率说，云计算更需要零信任，云原生安全的形势已经非常严峻。众所周知，技术一定会变得越来越好，这就是为什么我从来没有谈论过“零信任产品”，而是把它称为一种理念、一种战略。我已经给出了一个部署零信任的框架模型，如果您听过我的演讲，演讲中经常我谈到的“零信任五步法”模型，这五步法中将会使用多种多样的产品。

John Kindervag：当然可以。比如说您要去旅行，首先需要一张地图。我已经为您提供了零信任之旅的地图，也就是我们所说的“零信任五步法”模型。

第一步就是定义所谓的保护面，保护面是攻击面的反面。我们需要整理所有攻击面，并将其收缩到非常小且易于了解的状态。

举例来说，对于一个处理信用卡的数据管理系统，我们真正关心的系统是存储交易流程和传输持卡人数据或个人帐号，这是一个二进制数据流，所以这是我提到的的保护面。现在，我已经知道我要保护什么，

第二步就是映射事务流。我这样做的目的是因为我需要了解各个系统之间是如何作为一个整体系统进行协同工作的，大多数人不知道他们的系统是如何工作的。因此，一旦我们看到系统是如何工作的，它就会向我们展示需要如何被保护。

第三步，我们将开始投入技术实施或构建零信任环境的架构。零信任环境可以构建在任何地方。

它可以是本地部署，或者在公共云、私有云、端点上进行部署。在哪里部署这个不重要，重要的是保护面在哪里，所以一切都以保护面为准。

第四步，我们构建策略。总的来说，零信任策略是作用在（OSI网络模型）7 层，我们只需要第7层的访问控制来执行该策略。因此，这些技术的存在是为了实施零信任策略。值得注意的是，所有策略都是二进制的，您对一个数据包所能做的处理就是允许或拒绝它。在零信任的环境下，我们从“拒绝一切”开始。因此，一开始我已经消除了您 50% 的选择，对吗？在您的决策过程中，您将打开允许规则：打开这个允许规则，打那个允许规则等等…

至关重要的，您需要了解任何一件坏事都将发生在某个允许规则内。因此，如果您的组织中的发生负面网络安全事故，您需要做的是仔细检查所有的允许规则，而不是那些拒绝规则。您拒绝什么根本不重要，您允许什么通过系统并获得保护面的访问权才是重要的。

第五步是监控和维护我们监控每个保护面的所有探针数据，我们检测它、采集它、通过人工智能之类的引擎处理它。我们从数据中挖掘知识，将其注回系统，因此我们可能会不断缩小保护面的攻击；或者当我们看到某些元素缺乏时，我们可以添加一个新的控制；或者我们更新了一个策略，所以这个做法使得这个环境更强大，并且随着时间的推移越来越强大。

John Kindervag：当然， SDP 的所有想法都和零信任理念高度重合，当我在Forester做研究时，我为外部公司提供咨询服务，这一切都是融合在一起的。

John Kindervag：好的，如果您想要部署零信任，需要首先了解您的保护面。然后从内向外设计，而不是从外向内设计。我们通常都从边缘向内设计网络（安全），但那是行不通的。

所以从内向外设计真的很重要，并且要利用好“零信任五步法”模型。如果您使用“零信任五步法”模型，您就会成功；如果您不使用它，您就不会成功。其实就是这么简单。因此，了解您需要保护的对象。

我经常收到客户打的咨询电话，他们声称刚刚买了某个X设备或者某个Y产品，问我应该把它放在哪里，以及如何使用它。但我只能回答我不知道，因为我不知道您需要保护什么。然后他们说，他们没有考虑过这个问题。因此，如果您要部署防御体系，您首先需要知道您要保护什么，对吧？这只是一种基本的防御理念。但我们目前所处的现状是，先购买技术，然后再想办法用它做什么，这个现状是必须要被改变的。