在傳統邊界防護安全體系下，多以內網外網分區構建安全體系，而內網用戶多為默認擁有較高的網絡權限，外網用戶則以VPN等技術接入內部網路。過去一年疫情期間，遠程工作模式漸成常態。亦隨著不同的網絡技術，例如IOT、雲計算等的發展，令公司網路環境的攻擊面增加，需要控制的風險更多，因此零信任架構模組在近年重新獲得關注，以降低傳統防護的複雜程度及提高安全性。

零信任架構模組最初由Forrester的John Kindervag於2010年提出，並於Google的BeyondCorp項目得到應用。此模組主要概念為以身份為中心進行訪問控制，默認整個網絡不論內外的人、設備、進程於驗證前均不予信任，並且透過持續驗證提供授權。

對比傳統防護體系以區域劃分信任，零信任架構基於可信身份，可信設備及可信應用三個元素提供訪問權限。每一個訪問要求均進行用戶身份驗證，設備安全狀態檢查及整個數據傳輸路程加密。在設計上大致有以下思路被提出：

可信身份則對用戶身份進行驗證，而身份需要統一控制監管以確保最小權限的釋放。針對可信設備，對新接入設備都需要有統一標準，例如公司統一控制、安全加固、定期進行漏洞檢測等。同時在訪問時驗證硬件信息及證書確保身份。進程則需要檢測是否有漏洞或病毒等。傳輸路程加密則透過密鑰加解密每個訪問，並均驗證用戶、設備及應用信息，對比傳統VPN可減少SSL連接及路由配置過程。

其實大部分提出的安全措施均頗為常見，坊間也有不少方案可以達到有關控制。而相對新穎的兩點是取締VPN以TCP訪問作通訊認證，以及整合各種信息，例如設備、應用程式、時間以及靜態帳號權限配置，去達到動態的權限分配，同時兼容連接的穩定性及速度。在雲計算、IOT等新技術普及後的網絡環境下，網絡攻擊會更層出不窮，而安全機制亦愈趨複雜。文中簡單介紹現時討論的零信任架構的內容，期望更精簡的設計及應用會在未來出現，能夠同時滿足便利性和安全性，在各種環境下都能夠執行，以加固網絡安全、保護企業和機構的重要資訊資產。

林芷晴

永盛科訊 

地址：香港皇后大道中183號中遠大廈4602室

電郵：info@ringus-solution.com

電話：(852) 2907 6011

網址：www.ringus-solution.com