零信任(Zero Trust) 這個名詞已經出現了十年。如果您使用Google進行搜索，則會有大量的文章和定義。整合Kindervag, CSA, Gartner及NIST的零信任觀點後，存取控制 2.0(Access Control 2.0) 是我所能想到、可以最有效傳達“零信任”概念的術語。

存取控制2.0

零信任是一種存取控制的網絡安全典範(cybersecurity paradigm)，具有以數據為中心(data-centric)、細粒度(fine-grained)、動態(dynamic)且具有可見性(visibility)的特點。

• 軟體定義(software-defined)的邊界重於網路邊界。
• 數據為中心的微區段(micro-segments) 重於以網路為基礎的網段(segments)。
• 基於身份的環境(identity-based context)和基於屬性的訪問控制(ABAC)，可實現細粒度的控制和政策的動態性。
• 記錄和監聽(observing)可支援可見性。
• 符合(Compliance) 僅知(need-to-know)、最少特權(least privileges)和完整中介(complete mediation)等原則。

零信任架構簡介

• TWCSA活動：https://2020.infosec.org.tw
• 投影片： Zero Trust_TWCSA_20201028

原始出處: Zero Trust as Access Control 2.0