亲您好，很高兴为你解答。零信任落地的几大难点1.建立企业资产数据库，对公司所有人员、组织架构、设备、网络拓扑、应用、等信息进行梳理。并且能够根据企业组织架构调整、人员职级变动、设备更换或丢失等情况实时对资产进行全生命周期管理，并且能够动态维护相关联的属xing特征。如所有人员的职级、角色、设备SN及设备证书、设备自身是否开启防火墙、设备是否处于公司安全网络、设备是否安装指定版本的防火墙；2.员工身份认证，身份认证可以对现有技术进行融合，如多因子身份验证(MFA)、可信身份认证（FIDO）、身份与访问管理(IAM)、SSO等。3.设备身份认证，设备认证技术，硬件方案如谷歌将设备身份烧制进电脑硬件。软件可以参考SSL证书方式，为每台设备分配证书；4.员工与设备绑定关系认证，员工第一次拿到自己电脑前，需要将员工与电脑设备的ID进行绑定，这就要求，企业具备固定资产管理的能力；5.资产属xing梳理，企业员工敏感等级、应用资产敏感等级、企业网络边界资产、企业应用是否存在中危以上漏洞、；6.细粒度的访问控制权限梳理，零信任要求重新梳理企业应用的访问权限，采用更细粒度的访问控制，如基于单一请求的服务级别的访问控制。这里的要点有两个：a）每次请求都必须要求访问控制策略；b）一次请求是由众多不同的服务（最小逻辑单元）共同完成的，访问控制策略的粒度必须到服务级别，而不能仅停留在请求级别（url或method）上。7.安全策略的部署和调整:在部署ZTNA方面有经验的最终用户组织表示，对ZTNA策略采取“一劳永逸”的做法不切实际。随着业务需求的不断变化，应适时调整远程访问策略。例如：伴随新应用程序（或季节xing应用程序）的部署，ZTNA团队将需要添加新的访问策略；随着应用程序不断变化或业务负责人确定需要粒度更强或限制xing更强的策略，访问策略也可能需要予以更新。ZTNA团队要有这样的观念，即要始终不断改进和完善访问策略。8.自学习、自适应的动态模型。利用机器学习，通过用户及实体行为分析(UEBA)识别异常行为等。9.基础设施要求：流量加密、统一流量网关、企业应用统一SSO；10.管理层支持: 除了技术方面，人的观念转变和高层支持更加重要。否则，零信任根本难以起步。

亲您好，很高兴为你解答。零信任落地的几大难点1.建立企业资产数据库，对公司所有人员、组织架构、设备、网络拓扑、应用、等信息进行梳理。并且能够根据企业组织架构调整、人员职级变动、设备更换或丢失等情况实时对资产进行全生命周期管理，并且能够动态维护相关联的属xing特征。如所有人员的职级、角色、设备SN及设备证书、设备自身是否开启防火墙、设备是否处于公司安全网络、设备是否安装指定版本的防火墙；2.员工身份认证，身份认证可以对现有技术进行融合，如多因子身份验证(MFA)、可信身份认证（FIDO）、身份与访问管理(IAM)、SSO等。3.设备身份认证，设备认证技术，硬件方案如谷歌将设备身份烧制进电脑硬件。软件可以参考SSL证书方式，为每台设备分配证书；4.员工与设备绑定关系认证，员工第一次拿到自己电脑前，需要将员工与电脑设备的ID进行绑定，这就要求，企业具备固定资产管理的能力；5.资产属xing梳理，企业员工敏感等级、应用资产敏感等级、企业网络边界资产、企业应用是否存在中危以上漏洞、；6.细粒度的访问控制权限梳理，零信任要求重新梳理企业应用的访问权限，采用更细粒度的访问控制，如基于单一请求的服务级别的访问控制。这里的要点有两个：a）每次请求都必须要求访问控制策略；b）一次请求是由众多不同的服务（最小逻辑单元）共同完成的，访问控制策略的粒度必须到服务级别，而不能仅停留在请求级别（url或method）上。7.安全策略的部署和调整:在部署ZTNA方面有经验的最终用户组织表示，对ZTNA策略采取“一劳永逸”的做法不切实际。随着业务需求的不断变化，应适时调整远程访问策略。例如：伴随新应用程序（或季节xing应用程序）的部署，ZTNA团队将需要添加新的访问策略；随着应用程序不断变化或业务负责人确定需要粒度更强或限制xing更强的策略，访问策略也可能需要予以更新。ZTNA团队要有这样的观念，即要始终不断改进和完善访问策略。8.自学习、自适应的动态模型。利用机器学习，通过用户及实体行为分析(UEBA)识别异常行为等。9.基础设施要求：流量加密、统一流量网关、企业应用统一SSO；10.管理层支持: 除了技术方面，人的观念转变和高层支持更加重要。否则，零信任根本难以起步。