今天要來學習零信任(zero trust) ，是一種網路安全模型，其思想核心是"不信任任何人，無論是網路內外"，與傳統網路安全策略不同，網路信任不再依賴於邊界安全(VPN跟防火牆)來保護網路，而對所有網路用戶都保持"驗證"狀態

零信任的核心原則

1. 默認不信任:無論來自企業網路內部的用戶、設備、還是外部用戶、設備、默認不信任。每個訪問請求都需要驗證其身分驗證，設備狀態與權限限制

2. 最小權限原則:用戶和設備只被賦予執行特定任務所需最小權限，即使用戶在網路中被驗證通過，也僅能訪問與其角色或職責相關資源

3. 細粒度控制:零信任通過細粒度的策略來控制訪問，包括設備的健康狀態，應用程序訪問全限，網路流量

4. 持續驗證與監控:零信任不是"一次驗證"，而是"永久信任"，而是對每個訪問請求進行持續驗證。在訪問過程中實時監控異常行為，並在檢測到可疑活動時采取行動

5. 數據保護與隔離:零信任關注數據本身保護，通常結合數據加密、分割和隔離等措施來確保數據安全性

七大要點

1. 所有資源來源和運算服務皆視為資源
2. 所有網路通信無論來源位置都必須被保護
3. 每一次企業資源的存取請求，都個別授予權限
   4.是否授予存取權限由動態策略決定
   5.企業持續監控並分析所有用的資源和資產完整性和安全狀態。
   6.持續驗證使用者身份
   7.收集企業內部資源的資訊

零信任的實現技術和框架

1. 身分和訪問管理:強調身分驗證和訪問權限控制，確保每個訪問請求都經歷過嚴格的身分驗證
2. 微分段:通過網路微分段來隔離工作負載，防止攻擊者在網路中橫向移動
3. 安全訪問服務邊緣:將網路安全服務與廣域網結合起來，提供零信任網路訪問功能
4. 終端檢測與響應:對設備的健康狀態進行實時監控和響應
5. 安全信息和事件管理:收集和分析安全事件數據，幫助企業在零信任架構中監控和發現異常

零信任優勢

• 減少內部威脅風險
• 提升數據保護
• 增強動態環境下的安全性

零信任挑戰

• 複雜度和實施成本較高:零信任的實施涉及多個安全系統和策略的整合，增加複雜性和部屬成本
• 文化變革和用戶體驗:用戶可能需要適應更頻繁的身分驗證，並且傳統的"信任"概念需要組織中進行變革
• 設備與應用兼容性:一些設備和系統可能不支持零信任的安全要求，導致部屬受限