零信任入门：从 VPN 到 ZTNA 的演进

传统 VPN 把“网络边界”当成信任前提，而零信任把信任拆解为：身份、设备、上下文与策略的持续验证。

1. 核心原则

• Never trust, always verify
• 最小权限（Least Privilege）
• 持续评估（Continuous Evaluation）

2. 典型落地路径

1) 统一身份（SSO/MFA）
2) 设备合规（EDR/MDM）
3) 应用级访问控制（以应用为边界而非网段）
4) 全链路审计（谁在什么时候访问了什么）

3. 常见误区

• 只上了 MFA 就叫零信任
• 只改网关，不改应用鉴权与审计