昨天說了HTTP,今天說HTTPS。
HTTPS,port是443,是HTTP加密後的意思,S代表Secure,前面有說到因為http會受到網路攻擊,有了secure就可避免該攻擊,常用的是TLS/SSL為傳輸層的協定。
而TLS的用意為加密、驗證。為了在網路資料間傳輸遭到竊聽等不好行為,因此需要將資料加密起來,而驗證為確保對方伺服器是正確的。完整性在加密、驗證同時從在就能擁有。
根據CISA Zero Trust Maturity Model 零信任成熟度模型 2.0,裡面有5大支柱:身分、設備、網路、應用程式、資料。每一支柱都有4個等級:I、II、III、IV。
而根據金融零信任架構參考指引,裡面的項次5.6為資料加密。在資料使用HTTPS傳輸後就可以滿足。
對於零信任有興趣的話可以參考以上提到的模型和指引,除了上述提起,也還有NIST SP 800-207、政府機關導入零信任架構參考指引可以閱讀。
iThome鐵人賽
看影片追技術