今天來介紹一下常用於設計系統安全性的概念-零信任架構
零信任的概念最早是在2003年在一個論壇被提出,但真正被廣泛的利用是美國國家標準與技術研究院(NIST)於2020年公布SP 800-207零信任架構標準文件後才開始的
該文件中定義了零信任的原則以及一些實踐方法,並提出了許多可能面對的攻擊,其中最基本的一個原則為
永不信任,一律驗證
以上圖舉例來說
在左邊的是傳統網路架構圖,通常會認為訪火牆內的設備默認是合法的並不會去加以驗證,也就是說若其中一台主機被入侵時攻擊者可以很輕易的流竄到其他同架構內的主機,並竊取資源或植入病毒等攻擊行為
而右邊的零信任架構可以看到就算是在防火墻內各個主機也是不被信任的,當任何主機想要互通時一率都要經過驗證才可行動,這樣可以大大的降低攻擊者造成的傷害
iThome鐵人賽
看影片追技術