前幾天介紹了零信任架構，今天再更詳細實例說明。面對物聯網裝置數量持續增加的現況，既有的防護安全策略已無法充分因應當前複雜多變詭譎的攻擊威脅態勢，2010年Forrester Research的分析師John Kindervag提出的表示更嚴格的公司內部網路安全計劃和訪問控制將這術語稱作「零信任架構」，採用「永不信任、持續驗證」的設計原則，已成為物聯網安全防護領域的重要發展方向。

零信任的應用場景

在零信任架構之下，應用場景涵蓋多種物聯網領域，以因應各場景所面臨的安全挑戰，於智慧家庭環境中，零信任透過對每一個裝置進行持續的身份驗證與行為檢測，以確保家庭網路各節點不會被未經授權之設備滲透，在工業物聯網領域，藉由嚴謹的存取控制與微分段切割產線網路，減少產線的攻擊面以保障生產線與控制系統運作的安全，避免關鍵基礎設施遭受攻擊，於醫療物聯網場景，零信任策略結合多重認證與加密通訊，不僅可以用來確保醫療裝置與病患資料之完整性，也符合法規對於個資隱私保護的嚴格要求。

實作方式

在物聯網環境中實作零信任架構方法需整合三大核心技術，需先強化身份與存取管理 (Identity and Access Management ,，IAM)，透過多因子驗證 (Multi-factor authentication，MFA) 與裝置憑證驗證，確保每個連線請求都要經過嚴謹的身分識別步驟，再者執行網路微分段(Microsegmentation)利用VLAN或SDN技術，並依據風險等級將設備隔離，限制攻擊的橫向移動，最後，建立持續監控與風險評估機制，導入AI偵測異常行為，並即時動態調整存取權限。這三者結合，構成一個「永不信任、持續驗證」的動態性物聯網實作安全防護架構。

應用的挑戰

這實際應用的挑戰其中包含了老舊設備的限制、持續驗證的監控很有可能增加延遲的讓效能降低，由於裝置數量很多管理面較為困難執行，大量人力與工具協助的支出成本也都是所要去面對克服的挑戰。

零信任安全模式須結合應用才能發揮最大效益

零信任安全模式要求不再將任何裝置或用戶預設為可信，而是動態驗證身份與權限零信任架構，這方式能有效減少攻擊面、阻止橫向移動並確保資料真實性。然而，落實零信任需要逐步推動，並結合網路隔離機制，將網路隔離與零信任架構的結合才能有效達到防禦縱深的效果，安全保護指數倍增，才能真正發揮效益。