为解决这些问题，零信任模型在去年获得了业界的广泛支持。美国国际数据集团(IDG)的《2018安全重点调查》表明，关注安全的IT决策者中，71%注意到了零信任模型，其中8%已经开始在自家企业中运用该模型，10%正在试用。

零信任模型的原始概念是以数据为中心的网络，利用微分隔来实现更细粒度的规则，并最终限制攻击者的横向移动。自诞生以来，零信任模型的概念及其各种益处有了大幅发展。零信任被公司企业用于驱动战略性安全规划，使业务决策者和IT主管得以实现切实的预防、检测与响应措施。

佛瑞斯特研究所分析师 Chase Cunningham 博士贡献了零信任模型的最大进化发展。他发布了《零信任扩展生态系统》报告，将原始模型扩出其网络中心，纳入了如今不断扩张的攻击界面和以下元素及相关过程：

2. 数据：保护并管理数据，分类并制定数据分类架构，加密存储数据和传输中的数据。

4. 设备：隔离、保护和控制网络上的每一个设备。

对上述元素实施安全控制便能够提供通往零信任的路线图。但最重要的是要明白，网络攻击者触碰敏感数据的最佳途径就是黑掉用户身份。如果被盗身份属于手握宽泛访问权的特权用户，情况就更加糟糕了。事实上，佛瑞斯特研究所的数据表明，80%的安全事件涉及特权凭证。

为限制公司企业的网络风险暴露面，遏制当今数据泄露的头号元凶——特权滥用，可以考虑以下几个动作：

识别所有特权账户及资源，并妥善保护及管理这些特权凭证。

仅仅保护尚不足够，还需要减小攻击界面。方法包括整合身份和尽可能地清除本地账户，然后实现提权控制和实时特权访问工作流。最容易达成这一点的办法就是为所有特权用户实现基本的多因子身份验证(MFA)。

如微软强增安全管理环境 (ESAE) 指南中建议的，通过物理隔离管理员账户来强化环境安全。另外，还要通过基于主机的监视和先进行为分析，以及为最敏感的环境添加三级保障度的MFA，来锁定任何危险的规避方法

。

从基于边界的传统企业安全策略转向零信任方法，能够提供更为健壮的预防、检测和事件响应能力，可以保护不断扩张的攻击界面——云、大数据、DevOps、容器和微服务。遵循这一路线，公司企业便能够抵御高级威胁，限制数据泄露的影响，支持新的业务和运营模式，并且能保证合规（比如FISMA、HIPAA、PCI等等)。