面對台灣的關鍵基礎設施資安防護韌性仍不足,數位發展部表示,將加速導入機關推動零信任機制。這個所謂的「零信任機制」是什麼?可能會有什麼影響?
零信任(Zero trust),這個概念是在描述一種IT系統設計與實施的方法,主要概念是「從不信任,總是驗證」,即不應預設信任裝置,即使裝置已經連接到經許可的網路(例如公司區域網路)並且之前已通過驗證。
根據Google Cloud的資訊,「零信任機制會在整個網路上 (而不只是在信任的範圍內) 強制執行嚴格的身分驗證和授權,藉此移除隱含的信任。……所有存取資源的要求都會視為來自不受信任的網路,直到經過檢查及驗證為止。……與傳統IT安全性模型不同的發展;傳統模型主要著重於在網路範圍中保護存取權,並假設內部的一切都值得信賴。」,
Google提供舉例,「將您的網路和基礎架構想像成最重要的秘密政府機關,零信任就是安全系統。當中包含標準範圍安全性,以及用來偵測未經授權的存取的警告和感應器。
零信任機制可保護範圍內的所有存取點。建築物中的每一側和每個房間也會保持鎖定狀態,並使用生物特徵辨識系統控制門。即便您在前門入口通過安全性檢查,仍須掃描指紋,才能在每扇門前證明您的身分,且必須取得適當的安全性權限才能通過。您只能進入需要進入的區域,且只能停留完成業務所需的時間。」
目前零信任機制其實還沒有一套可遵循的認證和標準,零信任機制的核心在於身分辨識,由一開始就會要求一個強度非常夠的身份來源驗證,透過持續的身份驗證和授權等方式保護系統免受未經授權的登入,來保護系統不受損害,
目前來說可能的缺點,大概包括管理的難度上升,因為需要各種驗證與授權的流程,也可能會影響使用者的使用體驗。
看更多:新聞常見「黑天鵝」,黑天鵝事件是什麼意思?由來是什麼?
(完)
[自問自答x互問互答]
看完文章->自問自答->留言紀錄問題與答案->別人看到你的問題可能會覺得這是個好問題->別人看到你的答案可能會覺得還有別的答案->你看到別人的問題與答案時也是類似的反應->互問互答->日復一日->愈學愈多->大家不知不覺就變強了
範例問題:
- 你覺得零信任機制中的「從不信任,總是驗證」的概念在我們日常生活中的哪些情境中也是適用的呢?
- 文章中提到零信任機制會在整個網路上強制執行身分驗證和授權,就像最重要的秘密政府機關的安全系統一樣。你能想像如果學校或家庭也有這樣的安全系統,會對我們的生活有什麼樣的影響?
- 零信任機制是什麼?它跟傳統的資安模型有什麼不同?
- ……
你也問問看……
小傳媒編輯團隊希望幫助小學生提升寫作力。
若你有作文、新詩、讀書心得、電影觀後感、遊記、小日記…… 等希望得到修改與建議,
或有相關作品希望公開發表,歡迎寄到編輯信箱:editor@kidsmedia.com.tw
