零信任架構(Zero Trust Architecture)👽，一種現代化的安全策略，主張不應該自動信任內或外部的任何用戶或系統。這種架構假設所有的網絡都存在風險，因此每個訪問請求都應經過驗證與授權，並根據風險評估進行最小許可的資源分配，這跟之前提到的威脅建模等概念有很大的關聯性。
(可以想像成，大樓保安都先認定進來的人是壞人，要求每個訪客出示自己的身分證明)

實際上，企業在導入零信任架構時，很可能面臨重大改變☹️，因為它是一個相對複雜的安全模型，需要進行Re-model或應用改造，消耗大量資源，因此，如果要順利過渡到零信任架構，企業通常會面臨以下挑戰：

• 重塑網路架構：進行網路微分段和存取控制策略的調整。
• 應用改造：調整應用程式，以支援細粒度的授權和驗證。
• 時間與金錢成本：通常涉及設備更新、軟體升級和重新設計整體IT架構。

企業不必一開始就對所有的網路和應用進行改造，可以採取逐步導入的方式，優先保護高風險資源，針對最關鍵、最敏感的資產實施零信任策略。

此外，SDN可以讓企業更靈活的管理網路流量🥸，實現微分段和動態控制，其的可編寫性讓網路管理變得更高效，可以在不進行大量硬體升級的情況下實現零信任中的一些核心功能。

＊SDN：軟體定義網路，一種網路架構方法，通過將「控制平面」與「數據平面」分離，使網路變得更加靈活，傳統的網絡設備通常同時負責轉發數據和網路決策，而SDN將這些功能分開，透過集中控制的軟體平台來管理網路，允許管理者根據需求調整網路流量和安全策略。

或者，利用現有資安工具整合零信任原則，將防火牆、VPN、身份管理系統等現有安全工具與零信任的核心概念進行整合，並逐步轉換功能，如：已有的MFA系統可以作為實現零信任的一部分，逐步強化使用者身份驗證。

＊MFA系統(多因子身份驗證系統，Multi-Factor Authentication System)：一種身份驗證方式，要求用戶在登錄時提供多個不同類型的身份驗證資訊，通常包括以下其一：

1. 知識型：密碼或PIN碼。
2. 擁有型：手機。
3. 屬性型：指紋、面部識別等生物特徵。

企業也可以通過設置API和網路代理來減少應用程式改造的範圍 🫳🏻，這些代理可以充當應用與網路之間的中介，負責處理零信任所要求的身份驗證、授權和監控，有效減少對應用程式本身的變動。

＊Application Programming Interface：定義應用程式如何與其他系統進行互動，尤其是在傳輸數據或功能請求時，可在不需要直接了解彼此的內部運作情況下進行。

＊ 網絡代理(Proxies)： 位於用戶端和伺服器之間的中介設備或軟件，負責轉送用戶請求並將伺服器的回應返回用戶，也能執行各種網路管理。

代理可以攔截敏感數據，並根據策略進行數據加密，在零信任中非常重要，它也可強制實施MFA和授權策略，從而確保只有符合條件的用戶或設備才能訪問特定資料。