在著名的 Forrester Research 2010 年零信任报告中，分析师 John Kindervag 呼吁将网络安全防护中常见的“信任但验证”方法调整为“验证而永不信任”策略。Kindervag 针对当年盛行业界的座右铭：“我们希望我们的网络就像 M&M 巧克力豆一样，外面爽脆，中间软糯”提出了质疑。几十年来，企业的网络安全都是这样设计的：一个内部或受信任的网络（中间软糯）由防火墙及其他安全防护措施（外面爽脆）与外部世界隔绝开。这个边界内的（或通过远程方法连接的）人或端点，要比边界外的人或端点获得更高级别的信任。

这种“硬壳软心”的安全防护设计可以说从来都不是理想的方法，但今天却仍在广泛使用。这些架构使得进入内部网络的人可以轻松地遍历内部网络，相应的用户、设备、数据和其他资源几乎完全不设防。网络攻击正是利用了这种设计，即首先获得对一个或多个内部端点或其他资产的访问权限，然后再沿网络横向移动、利用存在的弱点、泄露受控的信息并发起进一步的攻击。

除了易受精心策划的网络攻击外，随着网络扩展涵盖了大量端点，用户需要从更多的位置进行远程访问，并且需要通过更细粒度的服务访问更多资产，这种功能不足的架构就变得愈发压力重重。自新冠肺炎（COVID-19）疫情以来，由于工作人员纷纷开始远程办公，而云环境中的工作负载也日益增加，信任问题引起了更多关注。

为了管理这种环境的漏洞，企业正在从允许安全访问整个网络的虚拟专用网络（VPN）过渡到更精细的零信任网络访问（ZTNA），后者将会进行访问分段并限制用户对特定应用和服务的权限。这种微分段方法可以帮助限制攻击者的横向移动、减少攻击面并控制数据泄露的影响，但采用零信任模型需要企业在其安全架构的各个方面应用“验证而永不信任”的理念。