零信任不是可以随便买到的东西;你需要在整个组织中一致地建立它。思科在最近的一份报告中表示，近90%的组织已开始采用零信任安全。但在接受调查的4,700名全球信息安全专业人士中，只有2%表示他们已经成熟部署，而大多数(86.5%)的人开始实施零信任的某些方面。

那么，组织应该从哪里、如何开始实现零信任呢?

零信任是IT安全公司常用的营销口号，但很难准确定义其含义。这是因为零信任不仅仅是一种可以购买的解决方案，它更像是一种重新思考基本安全假设的计划。当前对它的兴趣反映了更广泛的文化变革，企业和当局正在加强对各种风险的态度。

最终，零信任方法建立在特权访问管理的概念之上，并增加了更多安全层，以构建365度保护。在一个安全威胁已造成严重偏执的世界里，IT专业人员需要尽可能消除隐含的“信任”。因此，这种方法变成了“永不信任，始终验证”。

零信任的最佳定义是保护复杂网络免受内部和外部威胁的框架，特别是许多安全事件源于用户凭证的滥用。

IBM将零信任解释为一种哲学，即假设每个用户和每个连接都是威胁，因此企业网络需要防御这些潜在风险。它包括多项安全措施，以提供持续的网络监控和验证，确保每个用户都具有正确的权限和属性：