什麼是零信任架構？

隨著網路威脅變得越來越複雜和無情，傳統的安全性模型變得越來越無效。然而，企業可以依照「任何實體都不應預設被信任」的理念，實作強而有力且適應性強的網路安全性方法。

探索使零信任架構成為您企業必備架構的核心原則。

明確驗證
零信任將每次存取企業資源的嘗試視為來自公開網路的要求。與其在進入點一次性驗證憑證，ZTA 會定期和全面地評估資料點 (例如使用者的身份識別、位置和裝置) 以即時識別危險信號，並幫助確保只有授權的使用者和裝置可以存取您的網路。

使用最低權限存取權
ZTA 僅為每位使用者提供執行其工作所需的最低存取權限。以這種方式限制存取權限有助於您的企業最小化被入侵帳戶可能造成的損害。

假設缺口
零信任的運作前提是缺口是不可避免的。這種方法不僅專注於防止攻擊，並透過假設您企業中的使用者、裝置和系統已經受到入侵來主動預測網路攻擊。

零信任從根本上改變了組織處理網路安全性的方式，確保每個存取要求都經過徹底審查 (無論其來源為何)，並主動限制風險。找出使 ZTA 成為您企業重要架構的主要構成要素。

身分識別和存取權管理 (IAM)
零信任會一律在授與資源存取權之前驗證使用者和裝置的真確性。具體而言，這個架構會使用身分識別與存取權管理 (IAM) 策略 (例如多重要素驗證、單一登入 (SSO) 和角色型存取控制) 來幫助防止身分識別相關的缺口。這些功能還可以通過簡化登入流程並減少記憶多個密碼的需求，來改善員工的使用者體驗。

網路區隔
ZTA 會將您的網路劃分為較小且隔離的區段，以限制潛在網路攻擊的橫向移動。每個區段都作為安全區域，幫助您的企業控制缺口並防止網路威脅擴散到基礎結構的其他部分。如果發生資料外洩，您的企業可以輕鬆將其限制在特定區域内，並顯著減少造成的損害。

網路區隔還使您的企業能夠對網路的每個區域套用量身定制的安全性原則。例如，可以對包含敏感性資料的區段套用更嚴格的控制，而對不那麼重要的區段則可以給與較為寬鬆的原則。這種彈性使您的企業能夠在不妨礙營運效率的情況下最佳化其安全性態勢。

端點安全性
零信任架構保護端點裝置　(例如膝上型電腦、智慧型手機和平板電腦) 以防止惡意軟體等網路威脅滲透您的網路。端點安全性至關重要，因為這些裝置通常被視為大型網路攻擊進入和造成破壞的門戶。ZTA 提供進階的威脅偵測和回應能力、全面的加密以及定期的裝置更新，以幫助維護您企業營運的完整性。

資料安全性
零信任架構提供強大的存取控制、端到端加密和資料遮罩功能，幫助防止資料外洩和未經授權存取敏感性資訊。通過使用有效的資料安全性措施，您的企業可以持續遵守法規並維持客戶信任。ZTA 還包括資料外洩防護 (DLP) 策略，以幫助防止您的企業資料被洩露或盜竊。

安全性資訊與事件管理 (SIEM)
ZTA 使用SIEM 系統，以提供由商務應用程式和網路硬體產生的安全性警示的即時分析。這使您的企業能夠迅速偵測和回應潛在的網路威脅，防止其造成損害。

零信任架構中的 SIEM 系統還能透過提供有關安全性趨勢和模式的寶貴深入解析，幫助您更好地了解威脅環境。通過分析歷史資料，組織可以識別重複出現的問題並主動採取措施加以解決。要讓您的企業保持在新興網路威脅的前沿並維持強大的安全性態勢，採用持續改進的流程至關重要。

AI 功能
零信任使用適用於網路安全性的 AI 來準確偵測網路威脅並有效回應。AI 模型可以快速分析大量資料，使您的企業能夠識別可能代表缺口或網路攻擊的複雜模式和異常。零信任還為您的企業提供自動化功能，幫助安全性團隊節省時間並優先處理複雜的網路威脅。考慮實作 ZTA 以現代化您的安全性架構、降低回應時間，並且始終領先於不斷演變的網路威脅。

零信任架構在近幾十年中不斷演變，以回應傳統安全性模型的局限和網路威脅日益增長的複雜性。在 2000 年代初，一群安全性專家 (被稱為傑里科論壇) 開始倡導去邊界化，或無論在何位置均使用多層安全性。這個超越邊界的安全性控制概念為我們今天所知的零信任模型奠定了基礎。

探索零信任安全性演進的關鍵里程碑。
 

• 2010:分析師約翰·金德瓦格 (John Kindervag) 在Forrester Research Group 的一篇論文中正式創造了「零信任」這一術語，強調需要驗證每一個存取要求，無論其來源為何。
• 2017:Gartner 推出了持續自適應風險與信任評估(CARTA) 架構，這是一種專注於持續評估和適應風險的安全性方法。
• 2020:國家標準暨技術研究院 (NIST) 發布了特殊出版物 800-207，定義了一套全面的指導方針和最佳做法，以建立零信任架構。
• 2022:美國政府要求所有聯邦機構在 2024 年前採用零信任原則，並強調零信任在現代網路安全性中的重要性。

 

傳統安全性架構允許使用者在工作時登入後存取整個公司的網絡。雖然這種方法保護了組織的邊界，但它關乎實體辦公場所，並不支援遠端和混合式工作。此外，傳統安全性架構使企業面臨風險，因為如果有人竊取密碼，他們便可存取所有內容。

零信任網絡架構不僅僅是保護組織的邊界，而是通過定期驗證每個使用者和裝置來保護您所有的檔案、電子郵件和資料。ZTA 還幫助保護遠端存取、個人裝置和第三方應用程式，以提供更大的彈性，促進遠段工作，並支援攜帶您自己的裝置 (BYOD) 商務模式。

零信任結合了各種身份驗證、網路監視、加密和存取控制技術，以全面加強您的安全性態勢。

驗證和授權
所有使用者和裝置在存取資源之前都必須經過驗證和授權。零信任網絡存取 (ZTNA) 通常涉及多重要素驗證和角色型存取控制。

網路監視與分析
會持續監視網絡流量和使用者行為，以檢測異常、可疑活動和潛在威脅。

端對端加密
企業資料在您的企業中受到保護，以確保即使資料被攔截，也無法被未經授權的一方讀取。

存取控制機制
資源的存取取決於使用者和裝置的身份識別，以及其他内容相關的因素，如位置和行為。

由於現有 IT 環境的複雜性，轉換至零信任模型可能是一個具有挑戰性的過程。例如，當舊系統與現代安全性措施不相容時，將現有技術整合到新的零信任架構中非常地困難。考慮投資可互通的解決方案或規劃分階段實作的方法，以克服這類 IT 相關的挑戰。

遵循這些步驟和最佳做法，以採用零信任架構來支援您的企業：

1. 建立强式的身分識別驗證

開始驗證組織所使用的每個應用程式、服務及資源的存取 (先從敏感性最高的項目著手)。提供管理員評估風險的工具，並在身分識別出現警告訊號 (例如過多登入嘗試失敗次數) 時即時採取回應措施。

2. 管理裝置和網路的存取

確保所有端點 (無論是個人或公司的) 皆符合貴組織的安全性要求。加密網路並確保所有連線 (包括遠端和現場) 皆安全無虞。將網路區隔開來，以限制未經授權的存取。

3. 提升應用程式的可見度

「影子 IT」是任何員工所使用的未授權且有可能會引來威脅的應用程式或系統。調查人員已安裝哪些應用程式，以便您設定權限、監視它們是否有警告訊號，並確保它們有遵守規範。

4. 設定資料權限

為組織的資料 (無論是文件還是電子郵件等) 指派分類層級。加密敏感性資料並提供最低權限存取權。

5. 監視基礎結構

評估、更新及設定基礎結構的每個環節 (例如伺服器和虛擬機器)，來限制不必要的存取。追蹤指標，以便輕鬆識別可疑行為。

各行各業的企業正在實作零信任架構，以更有效地滿足其獨特和不斷演變的安全性需求。例如，跨國科技集團Siemens 實作了零信任架構，以提升其安全性態勢，並使用「絕不信任，一律驗證」的原則。無論什麽產業，組織都可以在多種使用案例中實作零信任架構，例如：
 

• 支持多雲端環境。
• 應對網路釣魚、失竊認證或勒索軟體。
• 向臨時員工提供有時間限制的安全存取權限。
• 保護並監視第三方應用程式的存取。
• 為使用各種裝置的前線工作者提供支援。
• 遵循法規要求。
  
  

然而，零信任還可以為您的企業提供針對特定產業的量身定制優點，包括：
 

• 金融。通過使用最低權限存取權來增強您的安全性態勢，並持續監視網絡中的行為，以快速識別和應對惡意活動。
• 醫療保健。通過實作多重要素驗證來保護您的電子健康記錄系統，並通過對網絡進行區隔來降低資料外洩的風險。
• 政府。通過加密您的資料和實作嚴格的存取控制來防止機密資訊未經授權的存取。 
• 零售。使用持續驗證和內容感知的原則來保護客戶資料並確保您電子商務平台的安全。
• 教育。保護個人裝置、第三方應用程式和對您的數碼學習環境的遠端存取，以支援遠端學習並提高靈活性。

 

在您的企業採用零信任變得越來越重要。隨著工作環境變得更加動態且網絡威脅不斷演變，組織必須驗證每個存取要求並實作全面的安全性控制，以確保其整個網絡的安全。零信任解決方案的範圍和規模差異很大，以下提供一些範例：

個人 可以開啟多重要素驗證 (MFA) 以在取得應用程式或網站的存取權前獲得一次性的代碼。您也可以開始使用指紋或臉部等生物特徵辨識技術來進行登入。

由於密碼很容易遺失，因此學校和社區可以使用通行金鑰以進行無密碼存取。此外，它們也可以改善端點的安全性來支援遠端工作和學校，並將存取權區隔開來，以防裝置遺失或遭竊的情況發生。

組織可以透過找出所有存取點並實作更為安全的存取原則來採用零信任架構。由於零信任屬於一種長期方法，因此組織應致力於持續監視的措施，以偵測新的威脅。

考慮為您的企業實作零信任解決方案。