零信任是維持機密資料安全、同時遵守新隱私權法規的 IT 安全方法。隨著雲端服務使用快速擴充,也會為授權管理員或應用程式的規範或遭竊證明資料建立新的潛在能力。此外,由於有效安全控管措施經常受害,因此資料竊取和網路罪犯可以進行網路詐騙。零信任可讓組織控管系統、網路及資料的存取,而無需控制。因此,移至零信任安全模型 (意指信任 nobody) 的組織數逐漸增加,讓公司能夠安全控管資料,根據特定原則限制資料的存取。
標準的網路安全狀況著重於停止網路周邊境外的威脅,但可以將資料漏洞保留在網路中的竊盜中。此方法利用防火牆、VPN、存取控制、IDS、IPS、SIEM 及電子郵件閘道,提供周邊安全保障,網絡犯罪現已知道如何違規。這表示具有正確證明資料的人員可以允許在任何網路的網站、App 或裝置取得。透過零信任安全性,網路內或外部預設不會信任任何人。零信任會透過要求每位嘗試取得資源存取權的使用者驗證,因而認證使用者並調節系統、網路和資料的存取。此程序包括驗證使用者身分、與特定系統的相關存取權,並且讓組織能夠管理使用者的數位識別,確保使用者得到適當的存取權。為了增強認證,零信任也使用多層進階存取控制,以便存取網路裝置與支援資源的伺服器。此方法也可讓您追蹤使用者活動、建立這些活動的報告,以及強制實施原則以確保符合規範。
美國國家標準暨技術研究院 (NIST) 建立的零貿易架構原則為:
降低風險
使用安全性優先的設計原則,降低來自固定威脅的風險。使用諸如內建使用者隔離及最低權限存取技術,來協助符合規範和隱私權法規。藉由妥善管理的身分識別,組織可以更精確地控制使用者存取,這代表內部與外部洩漏的風險降低。
控制存取
零信任安全方法包含擷取使用者資訊、管理使用者識別以及協調存取權限,以協助控制對組織內個別使用者的系統或網路的存取。
增強組織的安全性狀態
強化競爭優勢
從標準周邊安全方法調整到零信任模型的組織利用自動化、安全和治理,這些組織可提升整體的競爭優勢和業務靈活性。
追求零信任安全模型的組織必須:
具備有效的零信任安全模式,能夠提供:
- 隔離網路虛擬化
- 精確的職責區分
- 最少權限存取
- 自動威脅降低和修正
- 啟用預設、無比加密
- 持續監督使用者行為
- 感知自適應驗證