駭客也無法入侵的資安防護-零信任

各大企業都開始使用零信任系統，但打開Google搜尋「什麼是零信任」，跳出了密密麻麻的資訊還是好難懂，這篇文章告訴你什麼是「零信任」！

簡單來說，「零信任」的兩個關鍵詞就是「永不信任」和「始終驗證」。換言之，建立在「持續驗證」這個概念上的網路安全模型，並且視「信任」為一項弱點，必須徹底拋棄那些傳統被默許的信任，不但讓我們的資料在網路上更安全，也能夠增加我們對系統的信任度。

為何要做到「零信任」? 主要是隨著網路科技越來越先進，常有被駭客侵入的新聞，為了讓民眾能夠更安心的使用，零信任機制就成了政府系統的一項資安防護。

技術介紹與應用現況

零信任模型要求所有用戶、裝置和應用程式都必須通過驗證和授權才能使用系統和資源，即使是內部的用戶和裝置也需要進行身分驗證和授權，並強制實施嚴格的安全措施，以確保系統內資料的安全性。

零信任使用多因素驗證，啟用身分驗證、設置可信任設備、信任推斷等，例如透過手機簡訊驗證碼加上只有被認證鑑別過的裝置才能登錄，依照設備的健康狀態、資安威脅及使用者情境等資訊動態支援存取決策。

零信任就像更先進的保險櫃，它採用多層次的身分驗證、動態授權和行為監控等安全措施，從而實踐了更高效、更可靠的安全防護。

圖1 零信任系統架構資料來源:行政院國家資通安全會報技術服務中心(現改制為資安院)

未來展望/挑戰:

現在網路資訊越來越發達，駭客入侵的手法也越來越多變，透過零信任的防護措施，讓用戶能在網路上安心使用，建立信任感也能保護用戶個資，是現代不可或缺的防護。

電腦軟體共同供應契約也即將導入零信任相關品項，歡迎有興趣的廠商來投標。

資料來源:

1.封面圖來源:財團法人資訊工業策進會

2.https://www.vmware.com/tw/topics/glossary/content/zero-trust.html