跳至主要內容
Convey

技術專欄

什麼是零信任?——不再依賴「邊界」的資安思維

約5分鐘閱讀

隨著雲端與遠距辦公的普及,「企業內部網路是安全的」這一前提已不復存在。零信任並非特定產品,而是一種設計思想。本文整理其基本概念,以及務實可行的第一步。

邊界防禦模型的侷限

傳統的企業網路採用「城堡與護城河」的防禦模型:防火牆這道護城河之內被視為可信任的區域,使用者一旦透過 VPN 進入內部,便可在廣泛範圍內自由存取。

然而,隨著 SaaS 的業務應用與遠距辦公的普及,需要保護的資料與使用者都已移到「護城河之外」。更嚴重的是,攻擊者一旦成功入侵,便可在被信任的內部網路中進行橫向移動(Lateral Movement),輕易擴大損害——這是結構性的弱點。

零信任的三大原則

零信任並非「什麼都不信任」的悲觀論,而是一組「每次都重新驗證信任」的設計原則。其核心為以下三點。

  • 明確驗證——在每次連線時,都對使用者、裝置、位置與存取內容進行評估
  • 最小權限——僅授予業務所需範圍的存取權限,且僅在必要期間內有效
  • 假設已遭入侵——以「被攻破時」為前提進行設計,將影響範圍降到最低

第一步從身分基礎建設開始

提到零信任,很容易聯想到大規模的全面翻新,但其實不必一次到位。務實的推進順序是循序漸進:①導入多因素驗證(MFA)→ ②將帳號整合至單一登入(SSO)→ ③以裝置狀態為條件的存取控制 → ④以 ZTNA 逐步取代 VPN。

其中①與②的投資效益極高,多數組織可在數週內完成導入。反之,若身分基礎建設尚未理順,只導入 ZTNA 產品,效果將十分有限。

結語

零信任不是某項產品的名稱,而是為了揚棄「因為在邊界之內所以信任」的設計思想。先掌握自身現況,再從身分基礎建設循序推進——看似繞遠路,實則是最短的捷徑。Convey 提供從現況評估到導入、營運的一站式支援。