最早接触到这个概念其实很早就接触过了，在开发程序时，各端互相不信任，比如从用户到接口到微服务，以及微服务之间互相不信任机制，最开始做多因素认证权限管理，后来做 IAM 系统，外发流量管理之后意识到这么一整个概念体系，但那时候其实并没有成熟的产品（一九年二零年那时候）。

疫情的时候腾讯也出了个宣传通稿，说自己的 iOA 办公安全系统多稳定，都安全，那个时候感觉是在办公安全层面首个亮相的产品，iOA 最早是类似于安全管家之类的角色，后来慢慢转变成办公安全。

二一年的时候美国政府就调研零信任战略发布白皮书，然后二二年开始推动执行零信任战略架构。

老领导也是二二年那会出去创业了，也是主打零信任产品，前几天看到另一个公司宣布部署一百万客户端的新闻，就想着看一下具体是怎么一个形式。

单纯从外部角度看，就是员工设备上要安装一个客户端，这个客户端可以帮你请求公司的内网，听上去很像 VPN，但比 VPN 具有更多功能，还可以利用设备资源做安全风险感知和计算，以及收集设备更多信息做可信度研判。

架构上来说请求流向网关，以前叫 API 网关，现在叫做安全网关，安全网关再去调度零信任管控平台来研判是否具有风险，此次请求是否可信可放行。

因为不清楚内部实现细节，目前看到的基本都是说管控人员行为，并没有提到内部怎么和企业业务做集成的，因为权限和业务一般都会耦合的很深很深，单纯从外部角度好像很难介入。

说白了零信任就是不信任一切请求，即便是已经经过认证，也要实时的去分析是否可信，具体的难点就在于可信分析这块。

以前其实对安全流量分析挺感兴趣的，就像抓小偷一样，从无数数据中揪出有问题的那几条，如果哪天不用为生活而发愁了，说不定可以尝试做一些有意思的东西，可惜现在还在为工作而发愁。