零信任架構

是什麼

零信任架構是一種完全移除信任的 IT 系統設計與實作方法。 其核心的原則是「永不信任,始終驗證」,系統中的裝置或系統本身在與其他元件溝通前,都必須先驗證自己的身份。 在許多企業網路中,由於系統與裝置都在企業網路的邊界內,因此他們大多時候可以自由溝通。 然而,零信任架構卻採取了相反的做法:即使在網路邊界內,系統中的元件在進行任何溝通前,都必須先通過驗證。

解決的問題

在傳統基於信任的方法中,之所以認為存在於企業網路邊界內的系統與裝置是安全的,是因為他們都在受信任的網路邊界內。 但是零信任架構認為,這種信任模式實際上存在著弱點。 如果攻擊者取得了對信任裝置的存取權限,因為攻擊者已經在受信任的網路邊界內,他就可以在系統中自由移動,並且獲得系統賦予該裝置的信任與權限,進而使系統容易遭受攻擊。 不過在零信任的架構下,因為信任被移除了,攻擊者在進入系統的下一個環節前,都必須先通過驗證,所以進而減少了攻擊面。

如何幫助我們

採用零信任架構的主要好處就是減少了攻擊面,讓系統變得更安全。 從企業系統中移除信任,就可以讓攻擊者必須通過更多更強的安全閘門,才能獲得對系統其他區域的存取權限。