零信任認證是一種嚴格的 IT 資安模型,它會嚴格限制權限,要求每一位存取公司資源的使用者都必須通過適當的認證,不論他們在網路內部或外部。
目錄
零信任認證對每一個人的風險程度都一視同仁,傳統的 IT 資安模型傾向於自動信任網路內部的使用者,所以只有外部使用者才會被視為潛在的威脅。然而,內部的使用者和帳號也可能被駭客入侵,因此不應該自動給予信任。
採用零信任認證,企業就能降低風險、保護重要資訊,並省下資安事件所帶來的成本。
零信任認證如何運作?
零信任認證會採取一些嚴格的原則來限制使用者的權限以提升網路安全,包括:
- 身分驗證:使用者必須先通過嚴格的認證才能被授予網路的存取權限,認證的程序步驟可能包括:多重認證、需要高強度的密碼,或是指紋掃描等生物特徵辨識。
- 最低授權原則 (PoLP):最低授權原則是指讓使用者僅擁有其工作上所需最低程度的存取權限,以免使用者在網路上到處亂晃,並存取他們職務範圍以外的資訊。
- 不信任內部使用者:零信任認證有別於傳統的資安方法,將零信任狀態也套用到內部使用者身上 (而非只有外部使用者) 以維持安全並降低風險。
- 微分段:微分段是將網路分割成多個小區段,以便更容易限制每位使用者的權限,防止使用者在網路上未經授權或非必要的移動。
- 持續監控:藉由隨時監控網路與使用者活動,就能立即偵測並調查可疑活動。
- 存取控管政策:零信任認證政策的涵蓋範圍很廣,而且能即時演進,盡可能隨時保持更新以提升工作效率和網路安全。
- 加密:在每個存取點都實施資料加密,有助於確保即使發生資安事件,未經授權的使用者依然無法讀取這些資料。
- 自動化與 AI:採用自動化與 AI 功能來強化零信任認證,可簡化網路資安團隊的持續監控作業,並且執行更深入的大規模分析,盡可能以最快速度偵測風險。
零信任認證與傳統資安方法有何不同?
傳統網路資安的授權與監控會賦予使用者基本程度的信任,超過這個程度之外,使用者才需要經過授權驗證。這樣的作法雖然相對上較容易建置,但卻可能帶來風險,因為:讓所有網路使用者都享有一些基本權限,意味著有些人可能可以存取他們不需要的資料和資源,進而可能導致資安事件發生。
隨著企業更常採用遠距上班和雲端網路系統,網路防護也變得更加複雜,同時有更多敏感資訊暴露於不當存取和外洩的風險。零信任認證的作法消除了基本的信任,將每一位使用者都視為潛在的威脅,因此就能避免這樣的風險。
有了零信任認證,企業就能根據使用者的角色和工作需求來指定每一位使用者或每一類使用者的權限,並視需要隨時更新。只要使用者無法存取敏感資訊,他們就不會帶來曝險。
為何要採用零信任認證?
採用零信任認證方法,可以降低您企業遭到惡意使用者攻擊或暴露的風險。除此之外,傳統基於信任的資安措施,通常只能在身分外洩發生之後才發現,而這可能造成數百萬美元的損失或損害,並且影響企業營運。零信任認證是一種更為主動的防護型態,從一開始就專注於防範資安事件發生。
零信任認證框架尤其能夠應付以下威脅:
- 勒索病毒:鎖定的目標是身分和程式碼,萬一其中任何一個遭到外洩,零信任認證可保障另一個的安全。
- 攻擊裝置:利用遠端裝置的漏洞,由於零信任認證對於身分驗證非常嚴格,因此裝置會變得更加安全。
- 內部威脅:惡意的使用者可能存取並洩露需要特殊權限的資訊。零信任認證會追蹤所有使用者行為並發掘可疑活動,因此您就能盡速回應資安事件,甚至在事件發生之前就預先攔截。
零信任認證的基本前提是:與其先信任所有人,並且在發生資安事件時再來處理,倒不如一開始就假設每個人都是威脅,這樣做會更有效率、也更安全。
如何建置零信任認證
當企業要改用零信任認證框架時,很重要的一點就是要讓您的 IT 與資安團隊以及您的使用者預先做好準備,這樣才容易成功。這意味著您必須:
- 評估及整理:查看一下您企業的整體狀況,並分析它在各個層面的運作方式。評估使用者如何存取資訊、正在存取哪些資訊,以及誰在存取這些資訊。重新檢視您目前管制存取權限的資安措施。找出敏感資訊,透過這樣的分析來了解您企業的資安與存取管制措施需要哪些調整。
- 建立分類:根據資訊的敏感程度將資訊分成不同等級。依據使用者所需的存取權限等級,為使用者建立不同的頭銜。接著,根據他們目前負責的工作,重新評估哪些使用者需要存取哪些資訊。
- 反覆細分:將您的存取類別細分至最小單位,以確保沒有使用者能看到他們職務上不需要的資訊。針對個別使用者來客製化及調整權限大小。
- 讓管理變得輕鬆:使用身分管理工具 (如多重身分認證、複雜密碼,或生物特徵辨識) 來驗證嘗試存取資訊的使用者。建立一套系統來評估使用者的工作,確保他們的存取等級符合他們的需求,一開始先提供最低的存取權限。
- 監控及分析:建置持續監控來追蹤哪些使用者正在存取哪些資訊,建立一套完整的作業規範來讓網路使用者遵循。如此一來,就能確保使用者確實遵守公司的存取政策,並且即時發掘任何可疑的行為或潛在的資安威脅。
- 妥善保護:建立嚴格的資安政策並持續貫徹。這些政策應視需要隨時重新評估及修改,以確保其盡可能反應最新情況,並且具備效率。
- 強化安全:使用資料加密工具來保障敏感資訊的安全,即使資料遭到外洩也有保障。
- 訓練您的使用者:反覆教育網路使用者有關您的政策和作業規範,讓他們了解如何養成安全的存取習慣,並辨別可疑的網路存取行為。
- 反覆測試: 經常測試您的身分辨識工具、存取屏障,以及資安措施是否有效。視需要加以調整。
- 不分內外:使用零信任認證原則作為內部和外部網路使用者的預設值,建立一套提供存取權限給外部使用者的作業規範。
- 回應與補強:擬定一套嚴密的計畫來發掘及回應威脅和資安事件。
導入零信任認證原則是一項持續性工作,請務必確定您公司的網路資安政策與作業規範都已針對您自身的需求而量身打造,並且所有可能存取您網路的使用者都已清楚了解。嚴謹的原則與明確的理解,可幫助您企業徹底發揮零信任認證的成效。
零信任認證有哪些挑戰?
企業導入零信任認證所面臨的主要挑戰通常圍繞在以下幾個方面:
- 企業通常需要深度的理解才能徹底了解自己的公司網路、將資源妥善分類、決定其存取等級,然後擬定適當的政策。
- 存取作業規範變得更加複雜,這有可能會對使用者的工作造成阻礙。
- 改用零信任認證,有可能會暫時打斷現有的工作流程。
- 員工可能會對這種「不信任任何人」的文化轉變產生抗拒。
- 老舊的網路技術也許很難整合。
- 視您企業的預算而定,轉換系統和投入資源來建置持續監控與政策重新評估的成本,有時會是一項挑戰。
- 確保您企業的零信任政策符合產業規範,有時可能是一種障礙。
零信任認證是否符合產業標準?
是的。美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 以及國際標準化組織 (International Organization for Standardization,簡稱 ISO) 等機構所制訂的標準,都是基於同一個理念,那就是:任何存取您網路的使用者都應該通過多重認證來盡可能確保企業的安全。多重認證只是零信任認證用來確保身分經過徹底、持續的驗證並且符合產業標準的眾多工具之一。
哪裡可以取得有關零信任認證的協助?
Trend Vision One™ – Zero Trust Secure Access (ZTSA) 是一套現代化存取控管解決方案,能持續驗證您數位資產的使用者身分與裝置可信任度。ZTSA 透過即時的政策強制、風險導向決策,以及全方位可視性,來讓您安全地存取應用程式、雲端和 GenAI 工具。ZTSA 結合了安全網站閘道 (SWG)、雲端存取安全代理 (CASB) 以及零信任網路存取 (ZTNA) 來協助企業強制實施最低授權存取、降低對 VPN 的依賴,並且控制 GenAI 的風險,全部都從單一平台來管理。
Jayce Chang 是產品管理副總裁,專精於資安營運、XDR 與代理式 SIEM/SOAR。
常見問題:
什麼是zero login認證?
無密碼登入 (zero login) 認證是一種在登入網路時不需使用者名稱或密碼的使用者認證方式。
VPN 和 ZTNA 的差別是什麼?
VPN 讓通過授權的使用者擁有廣泛的網路存取權限,但 ZTNA (零信任網路存取) 只提供一小部分必要資源的存取權限。
認證的範例有哪些?
透過使用者名稱來登入、掃描指紋,以及使用安全 PIN 碼,全部都是認證的方法。
SSO 與 OAuth 的差別是什麼?
OAuth 是一種讓第三方應用程式在沒有登入憑證的情況下存取資源的授權框架,SSO 則會要求使用者必須登入系統才能存取應用程式。
為何 OAuth 不是認證?
OAuth 只是代替使用者授予存取權限,但不會驗證使用者的身分。
ZTNA 驗證的三大支柱是什麼?
ZTNA (零信任網路存取) 的三大支柱是:最低授權存取、持續驗證、防範風險。
零信任的「驗證身分與情境」首先注意的是哪三大領域?
其三大領域分別是:發起者是誰、連線的性質是什麼,以及發起者試圖去哪裡。
信任模型的三大支柱是什麼?
信任資安模型的三大支柱分別是:「能力/勝任力」、正直、「善意/關懷」。
零信任的五大支柱是什麼?
零信任模型的五大支柱分別是:身分、裝置、「網路/環境」、應用程式工作負載,以及資料。
零信任有什麼實際的應用範例?
醫院通常會採用零信任來保護病患記錄,並且符合產業隱私權標準。此外,像 Office 365 這樣的雲端服務也採用了零信任原則 (如多重認證) 來驗證身分及保護資料。