本集介紹

無論是做線上或線下生意都需要倚賴數位工具和網路服務，但談到資訊安全時，如果沒有受到衝擊、斷線、系統失效等影響，大多數的消費者和營運商可能根本就不會特別在意。在過去，管理資安的方式就是把環境建好，讓範圍內的聯網機器都能安全運作，但近年來有個叫零信任（Zerotrust）的詞開始被熱烈討論，能讓數位環境變得更加安全。數位時代創新長黃亮崢James邀請DEVCORE戴夫寇爾資深副總徐念恩Bowen來和大家談談如何建構一個零信任的安全環境。

1.零信任是一個概念與原則。過去企業做資安就像是在建城牆，只要將牆建得夠堅固、高大就能抵禦所有攻擊，並且認為城牆內的所有人都是安全、可信任的，但隨著攻擊手法的發展，能進到企業內部的方式越來越多，常見像釣魚信件、盜用帳號、破解企業Wi-Fi存取內網或甚至實體入侵等。因此，企業內部的環境已經不能完全信任，甚至應該預設為不信任，因儘量在每個存取動作上加入身分驗證、權限控管或加解密機制。

2.資安沒有絕對的安全，我們能做的只有在有限成本與資源下，運用各種機制、措施來降低事故發生的機率。2FA（雙因子驗證）、MFA（多因子驗證）就是一個很好的資安措施，許多網站會在輸完帳號、密碼後，用Email、簡訊、APP寄一組驗證碼給你確認身分，這樣的機制能夠大幅降低攻擊者駭入你帳號的可能性。
 
3.如果無法暫時無法導入零信任的產品，需要自行設計適合的架構，可以參考3A框架來進行實作。
第一個A是Authentication（認證），「絕不信任連線來源或身分」，即便使用者已在內網許久，仍要預設其為是不安全的。
第二個A是Authorization（授權），遵循「最小權限原則」，只提供必要權限、資源給使用者。
第三個A是Accounting（記錄），記錄資料授權、身分驗證的時間、人員等。
 
4.零信任並非真的什麼都不要信任，而是透過這個概念重新建立信任，並在過程找出不值得信賴的資源存取模式，擬定新的資安策略來對其進行回應，此外，企業的零信任模型不能一成不變，應進行動態調整並且能接受外部檢驗，在找到企業環境的弱點後，快速對其進行修正，如此一來才能打造最有效益的資安防護。

Powered by Firstory Hosting