全球遠距工作浪潮下，你「零信任」了嗎？｜專家論點【黃婉中】

作者：黃婉中（雲端架構師）

前陣子因為疫情，睽違了一個月才進公司，需要影印的時後發現印表機沒有辦法連上線，問了IT同事才知道，公司現在實施「零信任」（Zero Trust），必須要確認身分和裝置才能夠登入。

隔天在做客戶訪談的時候，被問到該怎麼做「零信任」？客戶強調：「可不可以不要講產品，直接告訴我該怎麼做？」

近年來，「零信任」是個在資訊安全領域非常熱門的話題，連美國政府都在制定零信任策略。其實零信任不是一種產品，更像是保護企業資訊安全的方法論。

為什麼大家都在說零信任？

除了網路攻擊事件頻傳外，這幾年全球工作模式改變也是一大推手。

過往一間企業裡面所有的電腦、印表機等都在同一個網路中，彼此信任，認為「進了我家門，就是一家人」。因此我們可以便利的使用電腦連接印表機或者在網路硬碟上找到同事的檔案。

這幾年開始流行「數位游牧」與「在家上班」，許多員工和裝置本身並不一定位在辦公室內。加上疫情的推波助瀾，更是讓企業發現「家門外的可能也是自己人」，因而開始放鬆管制。

過了一段時間後，卻發現這樣一來不只網路負擔重，攻擊者也可以利用這些漏洞趁虛而入，反正「只要進得了家門，都是一家人」，而讓企業承受巨大損失。

慢慢地，我們發現是不是家人，不能用家門內外來判斷這麼單純。

零信任的三個原則

這三個原則分別是：隨時驗證身分、採用最小權限原則、假設資料已經外洩。

以微軟為例，從不假設任何在公司網域內的身分或裝置是安全的，凡事要執行任務前必定會再次確認。實務上，使用多因素認證（Multi-factor authentication）、隨時確認裝置安全、隨時監控服務和裝置的運行狀況達成。

總結

以上就是業界開始採用零信任的動機以及三個原則。下一篇文章，我們來了解實務上怎麼進行。

瀏覽 323 次