零信任實戰：重塑資安防禦邊界，構建無縫的安全未來

數位轉型改變了網路環境，也改變了網路安全生態

隨著數位化轉型加速，企業網路的訪問頻率大幅增加，涉及的設備、地點和內外部使用者日益多樣化。根據勤業眾信調查，40%的企業每年接獲超過六次網路威脅通報，攻擊來源多元，包括勒索軟體、惡意軟體、DDoS攻擊及進階持續性威脅（APT）等。隨著網路安全邊界愈加模糊，IT環境的控管變得更為複雜，網路安全風險亦隨之升高。傳統的內外網隔離安全模型已無法有效應對這些挑戰，因此，企業必須轉型為零信任安全架構，來應對當前日益嚴峻的威脅形勢。

圖一、數位轉型與ZTA

勤業眾信零信任架構

零信任架構基於「從不信任、始終驗證」的安全理念，重新定義資安防禦模式。為了構建有效的零信任架構，企業需將其納入整體資安藍圖並持續進行滾動式調整。勤業眾信建議企業從身分、設備、網路、資料、應用程式與工作負載、可視性與分析、自動化與協調等七大核心領域進行全面規劃。

1. 身分(Identity)：零信任架構中的使用者，試圖存取系統的人、實體、服務。預設情況下需要進行身分驗證和授權才能取得該網路上的資源。身分是脈絡下的一個或一組屬性。
2. 應用程式和工作負載(Application & Workload)：包括本地端系統或服務、雲端應用程式與服務。
3. 資料(Data)：任何電腦運算的數字、字串、符號，以電子訊號方式儲存在媒體上的資訊。
4. 網路(Network)：實體或是虛擬的資源，用於支持流量、儲存、處理、分析資料，包含本地端與遠距系統。
5. 設備(Device)：任何得以存取資料、應用程式、服務的硬體或軟體，包括桌上型電腦、筆記型電腦、智慧型手機、平板電腦。
6. 可視性及分析(Visibility & Analytics)：重要詳細的資訊可以深入了解前五個領域的性能、行為、活動基準。
7. 自動化與協調(Automation & Orchestration)：自動流程，以在整個企業範圍內快速、大規模地採取策略的行為。

圖二、Deloitte零信任部屬方法

零信任部署服務藍圖

在日益複雜的IT環境中，實施零信任架構需要根據組織的業務需求和當前的IT環境，深入了解應該從哪些方面著手，並採取相應的措施。因此，應採取以下方法進行全面評估和分析，以確定需要加強的安全功能和解決方案，並制定及執行具體的實施計劃。

Phase1：零信任架構與評估
藉由金融零信任架構參考指引等框架，針對各場域進行評估，了解各領域控管成熟度，並設定目標。

Phase2：零信任部署衝擊分析
為了確保零信任策略藍圖方向與資訊策略發展一致，並符合各單位的業務發展期待，應執行差異分析。

Phase3：展開零信任部署準備
透過零信任策略發展、業務分析，展開零信任部署準備，其準備包含迭代更新計畫，以及資訊治理之轉型。

Phase4：零信任部署
已有具體零信任部署計畫，依循相關步驟進行解決方案與相關規範之導入。

圖三、Deloitte零信任部屬發展藍圖

零信任策略推動成功要素

在實現零信任架構的過程中，企業面臨著重大變革。因此，戰略、資源、人員與技術標準的有效配合，對於成功落實零信任架構至關重要

• 策略
  從解決方案選擇到具體實施，應確保目標的一致性，並綜合考量組織數位業務及資安發展的長期規劃，以靈活應對日益複雜的攻擊威脅，並成功打造一個安全、穩定的數位工作場域。
• 資源
  在導入外部解決方案時，企業應充分評估現有的零信任防禦能力，並整合技術資源，建立自動化防禦機制。這不僅能提高安全防護的自動化程度和可視性，還能有效應對日增的網路威脅與合規需求。
• 人才
  由於不同單位對零信任架構的理解可能存在差異，這會對方案的推行造成阻礙。因此，建立完善的培訓機制和推動小組，促進內部共識與認知，能有效減少負面影響，並提升實施效率。
• 技術標準
  零信任架構無法依賴單一解決方案實現，而是需要多種技術協同運作。隨著零信任架構的推進，各解決方案將逐步實現元件之間的互通性。為此，建立標準化的導入評估流程，將有助於實現可複製的推動方法，進而有效擴大實施範圍。

零信任是一種安全架構理念，其具體實施方案會因組織需求和環境的不同而有所差異。為了有效構建理想的零信任環境，組織需深入了解現有狀況、所面臨的挑戰以及所需的解決策略。儘管部署零信任架構需要投入相當的時間與資源，但其所帶來的安全性增強，將顯著提升組織的信譽與市場競爭力。基於「從不信任、始終驗證」的零信任原則，不僅有助於確保當前的資訊安全，亦為未來的組織營運奠定更堅實、可靠的基礎。

( 本文已節錄刊登於 2025/02/25 工商時報 名家廣場 )