零信任始於企業根據其業務及保安需要而實施的一套原則。

• 將所有資料及服務視為資源——今日的網絡是由很多不同級別的裝置及服務組成的，而 SaaS、雲端服務及存取企業資源的個人裝置都應該納入零信任的範圍。
• 不要信任網絡位置或身份——傳統監察周邊保安的方案會透過單一門戶讓用戶存取企業資源，一旦獲得認證，用戶就可以得到存取大量企業資訊的權限，而這安排亦為歹徒打開一度大門，當歹徒取得登入權後，他們可以在網絡內橫向移動，並可隨意安裝惡意程式及勒索程式。
• 只發出在某一時段存取某一資源的權限——在發出權限前先建立信任，並且只會發出完成任務所需的最低權限。
• 根據動態政策決定存取權限——根據項目、資源或應用程式而設定的存取規則。根據業務需要及可承受風險程度設定政策。動態政策可能包括持續監控用戶、裝置及行為屬性的風險程度，包括使用模式等。這可能包括環境屬性，例如網絡位置、時間及活躍的攻擊等。
• 假定沒有資產是在創建之始即已受信任，就應使用持續監察系統在每次收到存取要求時評估資源的保安狀況，甚至個人裝置也應設定它們的存取級別。這並沒有看起來那麼進取，因為即使已確認安全的伺服器也可以很快的因漏洞被發現或一個細小部份的改變而遭入侵，例如開放源碼資料庫的內容。
• 持續核實信任度——信任度並非永恆不變的。假如用戶或裝置的風險提高，應馬上採取行動終止連線或重設帳號。
• 嚴格執行認證及授權——在系統進行交流期間使用動態原則來不斷地掃瞄、評估威脅、修正及重新評估信任度。建立一個身份、憑證及存取管理系統（ICAM），並為相關資源設立多重認證，例如根據時間、突如其來的活動或新資源要求來重新評估基本政策。
• 盡量搜集最多資料——包括資產的保安狀況、網絡流量及存取要求等極為重要資料。並利用它們來取得啟示以改善保安策略及執行情況。