Zero Trust零信任浪潮席捲全球

文 / 劉虹君

二○二一年台灣資安大會上，許多講者提到零信任的網路概念。其實零信任概念發展已久，這種提升網路安全的方式，因為COVID-19疫情的影響，更加速其發展。

隨著企業不斷改進結構，在數據中心與邊緣之間部署應用程式，使邊緣至雲端的資安變得越來越複雜。此外，網絡攻擊者亦日漸掌握先進的入侵技術，能夠長期藏身於企業系統之內，隨時造成損害。

零信任網絡安全架構基礎

雖然全球已從全面封鎖到逐漸解封，但是企業大部分繼續採用居家上班WFH（Work From Home），這已經成為後疫時期的新常態。隨之而來的，是新一波遠端帶入需求以及資安的問題，不僅讓VPN在全球性大規模遠端辦公巨變中大幅成長，同時也因網路資源消耗、連網速度卡頓影響辦公效率而備受批評，進而讓全球企業思考更好更安全的網路安全架構，而讓實施零信任網路架構迎來最佳發展時機。

COVID-19疫情加速了因應遠端工作帶來的網路威脅，解決方案需求殷切。在疫情期間，企業員工點擊到惡意URL的風險提高。整體而言許多公司在尋求營運數位轉型過程中，已讓「零信任」技術在過去兩年中贏得了不少擁護者，只是新常態經濟讓它一夜成為新寵。在這樣的趨勢之下，零信任已成網路安全防護的新焦點，加上二○二○年全球疫情持續至今，遠端工作議題重新被思考，台灣在二○二一年也深受其影響，因此，對於零信任這樣的網路安全趨勢，勢必成為台灣企業與組織，都值得參考與重視的資安思維。

零信任趨勢各家廠商打出大旗

關於Zero Trust 的網路安全戰略，這股資安防護趨勢其實醞釀已久，最近幾年才成為熱門焦點，Microsoft-零信任模型，以現代化安全性結構來強調Microsoft安全性、合規性和身分識別，表示現今的組織需要新的資訊安全模型，能更有效地適應現代化環境的複雜性、採用混合式工作場所，以及保護任何位置的人員、裝置、應用程式和資料。隨時隨地保持生產力，讓使用者可以在任何裝置上更安全地工作。

雲端移轉為現今複雜的環境啟用具有智慧型安全性的數位轉型。風險降低，封閉安全性缺口，並將橫向移動的風險降到最低。

VMware實現零信任架構

依循 Forrester 公司於二○一○年提出的五步驟方法，即可簡單部署和維護零信任架構。

一．識別保護範圍，包括敏感資料和應用程式。對此，Forrester公司建議採用簡單的三大類別模式，將內容區分為公開、內部和機密。在分類後，就能將需要保護的資料劃分至微周邊中，然後將微周邊相互連結，以建構更廣大的零信任網路。

二．比對所有敏感資料的交易流量，以瞭解資料如何在人員、應用程式，以及連往商業合作夥伴及客戶的外部連線之間移動。接著，就能公開且保護網路和系統物件的相依性。此舉有助於實現流量最佳化，繼而提升整體效能和安全性。

三．定義每個微周邊的零信任架構，這項作業應以資料和交易在企業（和外部合作夥伴）流動的方式做為依據，並透過軟體定義的網路（SDN），以及使用實體或虛擬新一代防火牆的安全性通訊協定來達成。

四．在網路設計完成後建立零信任原則。許多組織會採用 Kipling Method，以判斷原則和網路的使用人員、內容、時機、位置、原因和方法。如此一來，就能制訂精密的第七層施行原則，只讓已知且經授權的應用程式或使用者存取保護範圍，同時假定所有個人裝置（無論是公司自有裝置或用戶自攜裝置） 都不安全。

五．進行自動化、監控和維護，以透過監控周邊活動來判斷異常流量位於何處、掌握異常活動的發生地點、監控所有周邊活動；然後，將日誌記錄流量的檢查和分析作業自動化，進而在不影響作業的情況下傳輸資料。

本期簡單列舉幾家，資安的領域裡面，有越來越多專家、廠商近年來都在提倡零信任，而它的核心精神就是「Never Trust, Always Verify」，Zero Trust零信任網路安全架構將成為未來十年主流的網路安全架構之一。

零信任的概念會更廣泛落實，針對網路、使用者、裝置，以及工作負載、資料等層面，並且充分運用資料收集與分析，以及自動化、調度指揮等能力，持續活化企業整體防禦。