傳統資安架構建立在「內部可信、外部不可信」的假設上,然而在現代威脅日益複雜、雲端化與遠端辦公普及的情況下,這樣的假設已不再可靠。
今天我們來介紹「零信任架構(Zero Trust Architecture, ZTA)」,這是目前國內外政府與企業資安升級的主流方向之一,也是 iPAS 常出現的考點!
零信任是一種 「永不信任、持續驗證」 的資安理念,其核心在於:
不預設任何人或設備是可信的,所有存取都需驗證與授權,並最小化存取權限。
| 原則 | 說明 |
|---|---|
| ✅ 驗證永不間斷(Verify Explicitly) | 每次存取都需驗證身分、位置、設備狀態等 |
| ✅ 最小權限原則(Least Privilege Access) | 使用者僅授與完成任務所需最少的權限 |
| ✅ 假設攻擊已存在(Assume Breach) | 預設系統已遭入侵,強化偵測與分層防禦 |
實現 Zero Trust 架構通常包含以下技術與策略:
| 元件/策略 | 說明 |
|---|---|
| ✅ 身分識別與存取管理(IAM) | 驗證使用者身分(含多因素認證 MFA) |
| ✅ 裝置健康狀態檢查 | 確認設備是否合規、安全、已加密等 |
| ✅ 微分段(Micro-Segmentation) | 將網路切分為小區塊,限制橫向移動 |
| ✅ 安全閘道(Security Gateway) | 控制資料進出,並進行行為分析 |
| ✅ 日誌與行為監控 | 實時監控存取行為、異常警示 |
| ✅ SDP(Software Defined Perimeter) | 軟體定義邊界,只授權可見的資源 |
| 面向 | 傳統資安架構 | 零信任架構 |
|---|---|---|
| 信任邊界 | 內部可信,外部不可信 | 不設信任邊界 |
| 存取控制 | 一次登入,永久有效 | 每次皆需驗證與授權 |
| 防護策略 | 防火牆為主 | 基於身分與情境的存取 |
| 攻擊防禦 | 預防為主 | 防禦 + 偵測 + 回應並重 |
| 關鍵詞 | 解釋 |
|---|---|
| Zero Trust | 不預設信任,強調驗證與最小權限 |
| Least Privilege | 僅授與完成任務所需的權限 |
| Assume Breach | 預設系統已被攻擊,強化防護 |
| Micro-segmentation | 網路分區,限制橫向移動 |
| IAM/MFA | 核心技術,強化身分與設備驗證 |
iThome鐵人賽
看影片追技術