認識零信任（Zero Trust）－概念、原則與優缺點

 零信任（Zero Trust）是什麼？認識「零信任」概念

零信任安全模型（Zero Trust Security Model）是一種 IT 系統的設計概念，以保護資訊安全為最終目的，也稱為「無邊界安全（Perimeter-less Security）」。背後的原理為不信任任何要求存取資訊系統的使用者和裝置，嚴格落實身份驗證。有別於以往「將內部網路或特定範圍內的請求或裝置視為可信任流量」的「圍城式安全模型（Perimeter-Based Security Model）」。

所謂的圍城式指的是在組織的網路邊界建立防火牆等防禦機制，將外部與內部分隔，有如建造護城河與城牆保護裡面的城堡，阻絕外來的資安威脅，對於內部則全部預設為隱性信任區（Implicit Trust Zone）和安全流量，所以不設防備。但現今 IT 系統中多包含第三方雲端產品和服務，架構複雜度高，將內外一分為二的圍城式安全模型越來越難以顧及整體資訊系統，導致資安成本提高或甚至造成安全疑慮。

相對於圍城式安全模型，零信任對於來自內外的請求一視同仁，不會依據位置判斷身份驗證的必要性，把隱性信任區的範圍縮至最小。全面進行安全檢查，並監控分析使用者行為以判斷其身份。

【傳統「圍牆式安全」vs 「零信任」架構比較示意圖】

與零信任有關的 ZTA／ZTNA 又是什麼？

而從零信任的概念，衍生出整體 IT 環境的「零信任架構（Zero Trust Architecture，ZTA）」，範圍涵蓋資料、系統、應用、身份和設備的保護。而 ZTA 之下又可以分出，著重於網路訪問權限控制的「零信任網路架構（Zero Trust Network Architecture，ZTNA）」。讓零信任概念轉化為有效遏止資料外洩，同時限制內部橫向移動的實際架構規劃。

企業組織的 IT 系統中，若有連至網際網路的需要，適合採用零信任網路架構（ZTNA），例如使用第三方廠商的雲端工具、遠端工作者等等，確實驗證身份，並確保他們僅能存取該身份被授權的 IT 資源。

晟崴小知識：「橫向移動」指駭客在一個資訊系統中找到初始入口點進入後，調查該系統內部網路運作方式，再取得該系統更多訪問權限，並伺機而動更深入入侵系統中的其他部分。

零信任標準和運作方式

美國國家標準技術研究院（National Institute of Standards and Technology，NIST）發表了零信任架構施行指南 NIST 800-207 文件，詳細介紹零信任概念，建立了相關標準，並列舉 7 大要點以及提供零信任架構範例。

一、零信任 7 大要點

1. 所有資料來源和運算服務皆視為資源。 

      首先明確界定企業或組織的資源，IT 系統中多由各種類型的軟硬體設備組成，包含硬碟、儲存空間、軟體即服務（SaaS）產品等等。這些可以讓使用者存取的都

      算是企業／組織的 IT 資源，也就是零信任安全模型希望保護的內容。

2. 所有網路通信無論來源位置都必須被保護。 

      存取需求無論來自傳統網路邊界以內的網路或是外部網際網路，都需要進行安全檢查，以最安全的方式傳輸資料。

3. 每一次企業資源的存取請求，都個別授予權限。
   授予存取權限之前，確實驗證身份，並且僅授予工作需要的最低權限。且若使用者沒有請求某一資源的存取權限，系統不會自動授權。舉例來說，A 職員需要使用到公司電子郵件系統，並依照規定驗證身份登入，而在要使用公司庫存系統時，需要再另外驗證身份一次。不會因為得到電子郵件系統的使用權限，就可以直接獲得庫存系統的權限。

4. 是否授予存取權限由動態策略決定。
   「動態政策（Dynamic Policy）」會依據多種因素改變，例如使用者身份、應用程式或服務性質等等因素。系統收到存取權限請求後，進行身份驗證與安全檢查，再決定是否授權。在零信任概念下，決定授權存取權限的規則建議評估資料敏感性，根據個別請求而有所不同。

5. 企業持續監控並分析所有用的資源和資產完整性和安全狀態。
   不預設任何資產為安全無虞。在評估是否授權存取資源的請求時，也評估 IT 資源的狀態，監測異常活動，而非假設所有企業內部的軟硬體設備皆無感染惡意軟體或是有安全漏洞，避免因為授權存取權限而擴大資安問題。

6. 持續驗證使用者身份。 

      即使在授權權限後，持續追蹤提出存取請求的使用者，分析其行為並評估風險，以確保身份沒有遭盜用。

7. 收集企業內部資源的資訊。
   企業應收集有關其 IT 系統安全狀態、網路流量和存取權限請求的資料並分析這些數據，以用來改善資訊安全政策。

二、零信任架構範例

【零信任架構範例示意圖】

在收到存取權限請求之後，系統可以透過「核心組件」與「支援組件」判斷是否要授權存取權限，並持續保護系統資安。

• 核心組件：使用者透過電腦等裝置對系統中的資源提出存取請求，而決策執行點會透過決策引擎和決策管理器，決定是否要授予權限。

• 支援組件：其他資安工具和相關支援，協助系統持續監控整體安全性，偵測異常活動、核實使用者身份，包括診斷與緩解系統、產業合規、威脅情資、活動日誌、資料存取政策、公開金鑰基礎設施、身份管理、資安資訊與事件管理。

零信任架構以決策引擎為核心，並落實身分鑑別、設備鑑別，信任推斷 3 大面向的安全檢查。

三、零信任架構如何驗證身份

系統驗證使用者身份時，多透過身份屬性，檢驗來自人類或是應用程式的存取權限請求。常見的身份屬性包含：

• 使用者身份與憑證類型（是人類還是程式）

• 每個設備上的憑證權限

• 憑證與設備的正常連線（行為模式）

• 端點硬體類型與功能

• 地理位置

• 韌體版本

• 認證協議與風險

• 作業系統版本與補丁等級

• 安裝在端點上的應用程式

• 安全性或事件檢測，包括可疑活動和攻擊識別

關於上述身份屬性的資訊都可以幫助 IT 系統確認存取權限請求是否是正當安全，落實零信任概念。

零信任的重要 3 原則

參考 NIST 800-207 標準的 7 大要點，零信任的概念到實際執行，企業和組織大部分會遵循以下 3 原則：

1. 假設所有請求都是威脅

在零信任的概念，無論是來自組織企業內部的流量或是外部的網路流量，都被視為有風險的存取請求。因此系統會確實針對每一次請求的裝置、使用者或網路流程嚴格執行驗證、授權和檢查等步驟。不會因為請求來自內部，就自動認定為安全流量，允許其存取要求。

同時，也因為假設所有請求都是威脅，所以將每次請求可存取的內容縮到最小，以降低資料外洩的損害範圍。

2. 採用最低權限原則

最低權限原則（Principle of Least Privilege，PoLP），也稱為最低權限存取，是另一個常見的資安概念。原則為只開放權限給工作上需要的使用者，將發生資安事件時的損害降至最低。例如企業的銷售人員不會有更改企業網站原始碼的權限，假設銷售人員的帳號遭盜用，也不會影響到網站程式碼。

3. 隨時監控

24 小時全年無休監控與分析資訊系統和網路中的行為與活動，以即時掌握情況，偵測潛在風險、資安事件或異常活動。再透過行為分析的結果，加強資安防護。

導入零信任的優缺點

如同所有的工具，零信任安全模型也有自己的優缺點。以下整理了企業和組織導入零信任概念的優勢與挑戰：

一、零信任的優點

• 縮小安全事件的影響範圍：
  採用最低權限原則，並將可存取的網路資源範圍縮小，降低駭客入侵後，在內部暢行無阻的機會，減少損害。

• 減少攻擊面：
  採用最低權限原則，限制流量與分隔出多個網路區段，阻止駭客橫向移動與惡意軟體感染，來有效減少駭客可以存取未授權的範圍，也就是所謂的攻擊面（Attack Surface）。

• 一致但高彈性的安全機制：
  零信任安全模型採用自動化工具集中統一管理安全政策，減輕管理員負擔。更簡便更新安全機制的同時，也提高安全機制的靈活性和擴充性。

• 協助符合法律規範：
  零信任模型中，系統會紀錄及分析使用者和存取請求的資料，可協助企業留存法規要求的資料，並可在有稽查需求時提交。

二、零信任的缺點

• 產生更多資料：
  使用零信任安全模型，企業會因為存取權限管制與監控使用者活動，產生更多需要保護的機敏資料。因此，資料儲存和資訊安全方面，會有更多工作。

• 影響工作效率：
  除了增加資安人員的工作量以外，零信任安全模式會在工作過程中，增加許多身份驗證的步驟。若驗證流程設計不當，可能會導致工作效率下降。甚至因為身份驗證流程過於繁雜無法落實貫徹，反而造成資安問題。

• 隱私權疑慮：
  完全執行零信任概念的過程中，將會監控與記錄使用者所有活動，對於使用者的隱私可能引發疑慮。

零信任安全模型可以更全面保護資訊安全，能有效減少攻擊面並提升系統的整體安全性，避免忽略由內部而來的威脅。然而，導入零信任安全模型並非資安萬靈丹，駭客還是可以透過釣魚等方式竊取登入資訊、入侵系統。企業也可能遇到資料管理的挑戰和隱私權問題。企業在採用零信任架構時，應綜合考量自身資安需求，以及零信任的優勢可以如何協助量身打造合適的策略，以兼顧資安與工作效率。晟崴科技提供MFA多因子認證服務和全方位的資安技術支援，確保只有經過合法授權的用戶才能訪問您的各項資訊，徹底消除了單一因素認證可能帶來的安全風險！

立即聯絡晟崴科技幫您守護資訊安全