零信任的七個應用，微軟如何保護資訊安全？｜專家論點【黃婉中】

作者：黃婉中（雲端架構師）

延續上一篇文章，我們來了解實務上怎麼進行零信任。

使用多因素認證

有沒有發現，這幾年使用新裝置登入某些服務（例如Gmail、蝦皮）時，除了輸入帳號密碼，還需要輸入傳送到簡訊或電子信箱的驗證碼才能登入？這就是多因素認證，確保即使在密碼外洩的情況下，系統也能夠確認使用者的身分。

多因素認證讓入侵不再只是破解密碼或者資料庫這麼單純，也讓駭客得逞的難度大幅提高。

確認裝置健康

疫情爆發三年以來，大家出入公共場所習慣在門口噴酒精，甚至出入特定公共場所，例如健身房，還需要有疫苗接種證明，目的是確保進出的人類本身不是病毒帶原者，不會帶著病毒跑來跑去。

這樣「確認出入人員健康」的原則其實和零信任相通。執行零信任的企業會確保所有存取企業資源的裝置都是健康的，這裡的健康指的是最新軟體版本、安裝防毒軟體。

如果不能確認裝置健康，即使網路和防火牆安全防護做得再好，也難以避免「木馬屠城」的狀況發生，因為病毒就在裝置裡面。

隨時監控服務狀況

即使已經確認使用者身分、確認裝置健康，使用者在服務內的行為仍然要被監控，企業可以利用人工智慧（AI）觀察大量監控數據後形成模型，讓異常的行為模式無所遁形，並隨之進化，降低風險。

員工可以使用個人裝置嗎？

疫情爆發的前兩年，許多員工在完全遠距的情況下上工（on-board），人沒有到公司報到，因為同事都在家上班、甚至電腦也都要過一段時間才能寄到家裡，中間的空窗期只能使用個人電腦。企業如何維持生產力，讓員工以遠端或者混合模式工作，同時兼顧資訊安全？

一是使用虛擬桌面（Virtual Desktop），讓員工使用個人裝置存取企業資源，例如Sharepoint、Onedrive、Teams；二是使用網頁版的Outlook收發信件。

即使偷跑進來，也要確保將傷害降到最小－網路隔離

過去疫情爆發時，所有飛入台灣的旅客都需要隔離，隔離天數從兩周到目前的3＋4不等。總之，旅客需要被限制行動，待在一個不會接觸到他人的地方，目的就是要避免傳染給更多人。

網路隔離（Network Segmentation）也會將裝置、資料或服務利用規則（Policy）隔離，即使網路受到病毒攻擊了，也能將傷害鎖在一個範圍內，減少損失。

打不開的藏密筒－防止資料外洩

多年前風靡全世界的電影《達文西密碼》裡，蘇菲和蘭登好不容易偷出「藏密筒」（Cryptex），卻發現必須輸入五位數密碼才能解開，還不能暴力破壞，否則裡面的莎草紙就會被流出的醋液腐蝕消失。

微軟使用Microsoft Information Protection防止資料外洩，員工可以在文件上進行分類，當設到最高級別時，即使文件以電子信箱或是隨身碟的方式流到組織外了，也需要本來具有存取權的人才能夠授權打開。

降低對VPN的依賴

遠距工作開始盛行後，企業對VPN的依賴明顯增加了，但這樣的情況除了VPN負擔太大，完全把資訊安全由網路把關顯然也不夠全面。

零信任的概念讓資訊保護不再侷限於網路上，而延伸到服務本身。例如當員工需要使用差旅報帳系統時，並不需要透過VPN，透過Internet也可以，但系統會要求必須使用受管理的裝置才能登入，同時使用者身分也需要被確認。

總結

由以上分析我們知道，因為工作型態的轉變，網路資訊安全也必須與時俱進，從「進了我家門，都是一家人」轉變成隨時驗證。

零信任不是一種產品，而是一種方法論。企業可依據「隨時驗證身分」、「採用最小權限原則」、「假設資料已經外洩」三個原則展開行動。

瀏覽 863 次