各大企業都開始使用零信任系統,但打開Google搜尋「什麼是零信任」,跳出了密密麻麻的資訊還是好難懂,這篇文章告訴你什麼是「零信任」!
簡單來說,「零信任」的兩個關鍵詞就是「永不信任」和「始終驗證」。換言之,建立在「持續驗證」這個概念上的網路安全模型,並且視「信任」為一項弱點,必須徹底拋棄那些傳統被默許的信任,不但讓我們的資料在網路上更安全,也能夠增加我們對系統的信任度。
為何要做到「零信任」? 主要是隨著網路科技越來越先進,常有被駭客侵入的新聞,為了讓民眾能夠更安心的使用,零信任機制就成了政府系統的一項資安防護。
技術介紹與應用現況
零信任模型要求所有用戶、裝置和應用程式都必須通過驗證和授權才能使用系統和資源,即使是內部的用戶和裝置也需要進行身分驗證和授權,並強制實施嚴格的安全措施,以確保系統內資料的安全性。
零信任使用多因素驗證,啟用身分驗證、設置可信任設備、信任推斷等,例如透過手機簡訊驗證碼加上只有被認證鑑別過的裝置才能登錄,依照設備的健康狀態、資安威脅及使用者情境等資訊動態支援存取決策。
零信任就像更先進的保險櫃,它採用多層次的身分驗證、動態授權和行為監控等安全措施,從而實踐了更高效、更可靠的安全防護。
圖1 零信任系統架構 資料來源:行政院國家資通安全會報技術服務中心(現改制為資安院)
未來展望/挑戰:
現在網路資訊越來越發達,駭客入侵的手法也越來越多變,透過零信任的防護措施,讓用戶能在網路上安心使用,建立信任感也能保護用戶個資,是現代不可或缺的防護。
電腦軟體共同供應契約也即將導入零信任相關品項,歡迎有興趣的廠商來投標。
資料來源:
1.封面圖來源:財團法人資訊工業策進會
2.https://www.vmware.com/tw/topics/glossary/content/zero-trust.html
3.https://www.ithome.com.tw/news/155119