在網路攻擊日益頻繁的當下,企業已無法再仰賴傳統的資安閘道器作為安全防護措施,要將網路安全做到盡善盡美,「零信任架構(Zero Trust Architecture)」導入,成了資訊安全的新顯學。究竟什麼是零信任?它與企業的資安策略有什麼關聯?如果你想了解這個顛覆傳統的資安觀念,那就讓本文帶你從基礎開始了解!
零信任架構是什麼?4大核心概念全面解析
「零信任架構(Zero Trust Architecture, ZTA)」,有時也被稱為無邊界安全。顧名思義就是不預設信任任何實體。像是疫情期間,所有旅客都需要接受防疫隔離一樣,會需要這樣做是因為所有的旅客都有感染的可能,這就是零信任的概念。套用在網路的世界,就是「永不信任,一律驗證」,不預期信任任何身分、裝置、資料。
因現在使用網路的情境相較以往多元,除了在辦公室使用電腦以外,人們還會在任何地方使用行動裝置,遠距辦公。網路的邊界相較於過去模糊,傳統資安閘道器已不適合當前複雜的企業網路環境,正因如此,伴隨著惡意攻擊的增加,零信任成了未來資訊防護的重要觀念。而除了這種「不信任優先」的防禦概念,我們統整了4大零信任架構的核心觀念,如以下。
觀念一|明確驗證
明確驗證指的是100%確認,該網路相關的使用者、資料都是合法的。例如:使用多重認證 (MFA)進行身分驗證、檢查裝置是否定期做防毒措施、資料是否有惡意病毒。
觀念二|最小權限原則
為避免高權限、高風險的問題發生,用戶或系統,僅被授予完成其工作所需的最低權限,避免不必要的存取權,降低資安風險、誤用的可能。
觀念三|假設網路環境已經有破口
假設網路隨時可能會被攻破,因此不預設任何存取是安全的,所有行為皆需持續驗證與監控,以即時阻擋風險。
觀念四|動態風險評估
動態風險評估行為異常偵測,可透過持續分析使用者和實體的行為模式 ( UEBA ),並結合人工智慧(AI) 和其他行為工具,來評估風險並偵測潛在的威脅。
4大零信任架構面向執行
零信任架構模型會依照企業的產業類型、基礎建設、使用習慣、適用法規、預算,去設立一套適合的架構模型,這樣的設計,大致可分為4個面向去做對應的管理方法。
- 身份驗證
在零信任架構中,確保每一位使用者都是經驗證且授權的本人,這是核心中的核心,而整個過程透過「多因素驗證 (MFA)」與「基於角色的存取控制 (RBAC)」這兩種關鍵機制來實現。
多因素驗證就像是為你的帳戶加裝了多個鎖。它要求使用者在登入時,提供兩種或更多種不同類型的驗證因素。而基於角色的存取控制,則像一套精密的門禁系統,可根據使用者的「角色身分」來分配權限。
- 裝置設備
在零信任的環境裡,任何設備在嘗試存取資源之前,都必須先通過「健康檢查」。系統會檢查該裝置是否符合預設的安全標準;確認這台設備是否安裝了最新的防毒軟體並正常運作;硬碟是否進行了加密,以保護數據;作業系統、應用程式是否都已更新到最新版本,修補已知的安全漏洞。
- 網路資料使用
在零信任的架構下,需要對公司的重要資料,進行敏感文件分類,並採用加密傳輸。這樣一來,即便駭客入侵,他在沒有金鑰的狀況下,仍然無法讀取資料,就可以降低資料被竊取的風險。
- 網路通訊
傳統網路就像是辦公室的一個大空間,透過VPN進來的人只要通過前台,就能在內部自由走動。在零信任環境下,公司網路會被改造成許多獨立的空間,即所謂「微分段(Micro-segmentation)」的概念。將整個網路切割成數個區塊,如此一來即使駭客闖入其中一個網段,也無法暢行無阻得「橫向移動」到其他網段。
另外,傳統的VPN就像一張「通行證」,一旦獲得就能進入整個公司內部網路。但在零信任下使用「Zero Trust Network Access(ZTNA)」替代VPN,不再給使用者進入整個內部網路,而是針對每一次存取請求,都動態地驗證使用者身份、設備狀態和當前風險,並只給予他們「最小權限」去存取特定的應用程式或資料。
零信任與企業有什麼關聯?它有哪些適用場景?
雖然上述對零信任架構的解說,已經進行詳細的介紹,但相信對初次接觸的人來說,這些架構講解還是有些難以理解。如果你也正處於這個階段,那請參考以下關於零信任架構的實際使用、案例分享!
案例分享-電商平臺遭系統入侵
在某個販賣女裝的電商平台上,員工可以透過VPN遠端存取內部系統,包括客戶資料庫與交易平台。但在某日,一位員工的帳號在沒有多因素認證(MFA)的身份驗證保護下被盜用。駭客利用此權限成功登入系統,並大量存取客戶個資,嘗試誘拐消費者分享機密的身份資料,並將完整的個資在黑市上販售。
另外,駭客還串改了交易平台的路徑,誘導客戶點進「看起來像是真實」的網站,引導客戶留下信用卡的完整資訊後,在防護弱的購物網站盜刷變現,取得不法所得。
為什麼駭客可以成功入侵網站後台?
駭客之所以能成功入侵網站後台,是因為網站存在多重資安漏洞。缺乏多因素驗證是其中一個關鍵因素,這表示即使駭客竊取了帳號密碼,系統也無法透過第二層驗證來阻擋入侵。另外,該網站缺乏行為異常監控,如果網站發生大量存取行為,當下也沒有一個及時的警示機制,駭客就能在神不知鬼不覺的情況下進行惡意操作。
除此之外,沒有最小權限控管的狀況下,也會讓駭客有機可乘。意即,即便駭客只取得低權限帳號,也可能因為系統未嚴格限制其操作範圍,而能篡改像是交易平台路徑,這類的敏感設定。
經歷盜刷的電商平台會有什麼後果呢?
- 金流通路被凍結或終止合作
當信用卡收單銀行或第三方金流公司,發現有高比例的交易爭議或盜刷情形時,就會起動暫停撥款程序。嚴重的話甚至終止雙方的合作合約,並將你的商家列入商戶黑名單。一旦金流服務中斷,就表示你將無法收取款項,而導致營運停擺。
- 法律責任與罰款
電商平臺若被查出儲存卡號資料不當,像是未經加密處理,或其資安防護措施不符標準,則會面臨法律責任與高額罰款。這可能觸犯《個人資料保護法》第27條,該條文規範了對個人資料檔案安全維護的義務,違者最高可處新臺幣200萬元罰鍰。
- 品牌信任崩壞
想像一下當媒體報導「XX電商平台盜刷大量發生」時,即使受害者僅是少數,品牌形象仍會災難性地毀滅。這類事件會導致消費者對品牌失去信任,不再願意留下信用卡資料,甚至因此離開網站,最終造成嚴重的客戶流失。
零信任可以如何阻擋這類問題發生?
首先,零信任架構會進行裝置的驗證登入,任何未經授權或陌生的裝置嘗試登入時,會被系統自動阻擋,確保只有受信任的設備才能存取企業資源。接著導入零信任架構後,還會進行動態風險評估,持續監測用戶的登入地點、行為模式等,一旦發現異常就立即觸發並要求用戶進行額外的身分驗證。
再來則是最小權限的設計,每個用戶或設備只會被授予完成其任務所需的最低權限。最後零信任架構也會持續監控與自動封鎖,讓系統不間斷地監控所有網路活動。一旦偵測到異常交易、可疑行為,系統會立即自動觸發封鎖機制,並同步通知相關人員,及時遏止威脅的擴散。
企業導入零信任架構,就讓齊瑞科技協助你進行!
相信你現在已經了解零信任架構對於強化企業資安的重要性。然而,如何將這項重要的架構導入你的企業環境中,又是另一大挑戰,而幸運的是你不需要獨自摸索,因為Qirui Technology會是你導入零信任架構時,最佳的合作夥伴!
為何選擇齊瑞做為導入零信任的好夥伴?
✅專業技術顧問:齊瑞科技是Microsoft的解決方案合作夥伴,也有多個Cloudfare ZTNA企業方案導入經驗。專業的認證技術人力、豐富專案經驗為企業與政府單位專案帶來最大保障。
✅7 / 24全天候支援:多年的建置與維護經驗,透由專業的客服與技術團隊,全天候即時支援各種用戶問題,為單位帶來安全無虞的守護。
3大步驟了解齊瑞如何為你導入零信任
步驟一:盤點評估與身份驗證
齊瑞科技首先會協助企業盤點內部的所有資產,並對關鍵資產進行風險評估,深入分析現有的潛在風險點。
完成風險評估後,接著落實身份驗證與授權控管。建議使用Cloudflare WARP與Microsoft Entra ID,以建立安全高效的單一登入(SSO) 系統,並實施多因素驗證(MFA),同時透過基於角色的存取控制(RBAC)和基於屬性的存取控制 ( ABAC ),來管理用戶身份與權限。
步驟二:裝置信任與動態存取控制
在確立身份驗證基礎後,齊瑞科技會將重點轉向裝置驗證與合規檢查。我們建議採用具公信力的Microsoft Intune進行裝置檢查,確保所有嘗試存取的裝置都符合安全標準。
另外,齊瑞科技也會協助企業實施動態存取控制,利用Cloudflare WARP取代傳統VPN,作為零信任網路存取(ZTNA)的安全通道。結合Microsoft Entra ID,針對使用者、時間、裝置、地點等因素,設定「最小權限原則」與「條件式授權」,確保只有在必要時才授予存取權限。
步驟三:持續監控與事件自動化響應
最後,齊瑞科技建議企業部署Microsoft Defender作為全面的防毒解決方案,並導入Microsoft Sentinel。Microsoft Sentinel不僅能進行使用者和實體行為分析(UEBA),主動偵測異常行為,還能實現安全編排、自動化和響應(SOAR)。
這表示Microsoft Sentinel能根據預設規則,自動執行一系列響應措施,例如隔離受感染的設備、阻止惡意流量等,從而達到自動化事件響應的效果,確保企業安全防護體能夠即時、高效地應對各種威脅,實現持續優化。
導入零信任架構,不是添購一套工具,而是企業在資訊安全的思維轉型!從高風險系統著手、跨部門合作,逐步建立可持續優化的安全防線。現在就是行動的最佳時機,讓零信任架構與Qirui Technology,一起為你打造網路安全保護網,邁開正確、關鍵的一步。
