传统安全观念中，“边界”的实际意义在于区分“可信”与“不可信”。边界之内，人员、终端设备、网络环境以及目标资源等都是默认可信的（在NIST SP 800-207 中称为“隐式信任区”），通常无需专门的访问控制机制；边界之外则是危机四伏，人员身份可能是假冒的，终端设备可能已经被入侵，网络中遍布窃听和假替，乃至目标资源本身也已被攻克从而危害前来访问的用户。

“零信任”兴起的背景是“边界”的消失。移动和云的使用挑战了逻辑上的网络边界，内部人威胁则否定了基于“边界”—不管是网络边界还是身份边界—区分“可信”与“不可信”的有效性。类似的，传统上人们认为受到网络攻击是特殊事件，是需要专门应对的“异常”，而今天不得不面对的现实则是各种网络攻击持续存在的“新常态”。

如果“边界”不足以凭依甚至不复存在，业务安全如何保障呢？需要进一步说明的是，“业务安全”实际包括：保证用户对资源的合理访问；限制乃至阻止用户对资源的不合理访问（权限不足、非业务需要、操作不当等等）；保证资源不因用户行为而受到侵害；保证用户不因资源问题而受到侵害。

既然边界的意义在于区分是否可信，那么直接的思路是寻求不依赖边界也能确认“可信”的方法。在Google BeyondCorp项目中，资产访问完全依赖设备和用户凭据，也就是说，通过设备和用户凭据判断访问是否可信。以Google BeyondCorp为模板，此后的各种“零信任”方案往往特别强调设备/终端管理和身份管理。常见的做法是，将设备管理和身份管理添加到传统的访问控制产品和方案中，如果用户身份或设备“不可信”，即拒绝访问。当然，各种“零信任”产品的市场宣传中一般还都会强调“智能分析”、“风险评估”等功能。

然而，因其对资源和管理的高要求，这种以“可信”为目标的做法在实践中却很难落地。以终端设备为例，什么样的设备才算是可信设备呢？在欧美大型企业的实践中通常是指由企业提供且被严格管理的设备，企业的IT和信息安全部门有权利且有能力做到：管理和限制设备的操作系统及安装的软件，对设备的操作系统及各种软件及时进行版本升级和打补丁，监控和调查用户在设备上的所有行为及相关内容。为了达到上述目的，企业需要在提供给用户使用的终端设备上安装具备各种安全功能（如防病毒/恶意软件和DLP等）的软件客户端。除了高昂的购入成本和对用户日常使用的诸多限制，严格的终端管理还需要配置专门的IT技术支持团队进行持续的专业维护。当然，更大的挑战是用户在工作中使用自有设备（BYOD），使得严格的终端管理完全无法实现。

另一方面，在企业的实际业务中对“可信”与“不可信”的要求通常都没有统一的标准，而是因人而异、因事而异。普通员工的日常办公与核心人员的设计开发对环境、设备和工具的安全要求不同，同一员工查看已发布的内部通告与撰写机密商业计划时对“可信”的要求必然有差异。为了支持而不是阻碍实际业务，对是否“可信”的评定应该具有足够的灵活性，毕竟在安全与业务发生冲突时，业务需求总是优先的。在求“可信”而不可得的同时，我们更应该认识到“零信任”本身就是对传统“可信”观念的突破。企业对移动和云的应用源自在“不可信”的环境和条件下开展业务的需求，而内部人威胁的目标是通常认为“可信”的人。所谓“零信任”，即是在一切（人、设备、网络、资源和环境等等）都“不可信”的前提下支持和保障业务的运行和发展，或者可以说，“零信任”产品和方案的目标不是保证 “可信”，而是接纳、拥抱“不可信”。