iT邦幫忙

2025 iThome 鐵人賽

DAY 23
0
IT 管理

新手挑戰 30 天:IT 管理各個面向的學習筆記系列 第 23

Day 23:零信任架構 (Zero Trust) 與存取控制

  • 分享至 

  • xImage
  •  

在雲端與遠端協作成為常態的今天,傳統只保護內部網路、預設信任內部使用者的「邊界防禦」模式已不再適用。攻擊者隨時可能從任何入口滲透,企業必須重新定義「信任」與「安全」。因此,出現零信任架構(Zero Trust Architecture, ZTA)——它以「永不預設信任,持續驗證每一次存取行為」為理念,讓資訊安全從被動防護,進化為動態、持續的驗證過程。

傳統資安的迷思:內部安全、外部不安全

在傳統 IT 架構中,安全模型建立在「企業內部網路是安全的」這項假設上。

因此,只要使用者或裝置通過邊界防火牆,就被視為「可信」。

但現實是:

  • 攻擊者一旦滲入內部網路,就能橫向移動(Lateral Movement),輕易擴散。
  • 雲端、行動裝置、SaaS 應用的普及,使得「內部」與「外部」的界線逐漸模糊。

這也就是為什麼「零信任」成為現代資安架構的理念。

什麼是零信任(Zero Trust)?

Zero Trust 的核心理念是:

「永不預設信任,任何人、任何裝置、任何行為都必須經過驗證。」

它並不假設任何網路環境是安全的,而是以持續驗證(Continuous Verification)與最小授權(Least Privilege)為基礎,動態調整信任層級。簡單來說,Zero Trust 並非「不信任任何人」,而是「不預設信任任何人,直到他被證明可信」。

零信任的三大原則

  1. 明確驗證(Verify Explicitly)

    每次存取請求都必須驗證身份、設備狀態、地點與行為模式。

    即使你昨天是可信的,今天仍需要重新確認。

  2. 最小權限原則(Least Privilege Access)

    使用者或服務僅能取得完成任務所需的最小權限。

    減少潛在攻擊面,避免權限被濫用。

  3. 假設遭入侵(Assume Breach)

    預設「系統已遭滲透」,並建立持續偵測與回應的能力。

    將防禦從「預防入侵」轉為「限制損害」。

零信任架構的組成

  1. 身分與存取管理(Identity & Access Management, IAM)

    驗證使用者與服務的身份,是零信任的第一道防線。

    • 使用多因素驗證(MFA)
    • 單一登入(SSO)
    • 基於角色或屬性的存取控制(RBAC / ABAC)
  2. 裝置安全(Device Security)

    監控裝置健康狀態,確保其符合企業政策。

    • 驗證是否為註冊設備
    • 是否安裝最新安全更新
  3. 網路分段與微分區(Microsegmentation)

    將網路切割成更小的安全區域,限制攻擊擴散範圍。

    • 常見技術:SDN(Software Defined Network)、防火牆策略動態化
  4. 行為監控與威脅偵測(Behavior Analytics)

    利用 AI / ML 分析使用者行為,辨識異常活動。

    • 例如:某員工半夜從陌生地點登入系統 → 自動觸發驗證流程。
  5. 持續評估與動態信任(Continuous Assessment)

    信任不是一次性授予,而是根據情境動態調整。

    • 若行為異常或設備狀態不符,立即降低權限或阻擋

零信任的核心在於「永不預設信任」,它以持續驗證為基礎,確保每次存取都經過審核,讓安全真正內建於每個流程之中。


上一篇
Day 22:風險管理與資安治理
系列文
新手挑戰 30 天:IT 管理各個面向的學習筆記23
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言