什麼是「零信任」
傳統網路安全好比你拿著一張通行證進入銀行,只要驗證一次,之後金庫、櫃檯、VIP室都可自由進出。
零信任架構則不同,它假設任何人、任何設備都有可能被冒用,就像每一個金庫的門、每一次提款都需要再次驗證-除了核對身分證件,還會檢查你當下的信用狀態、交易習慣,甚至確認你用的提款機是否安全。
零信任的核心實踐
持續驗證
Continuous Verification
不論內外網路,每一次的存取都重新檢視身份、裝置健康狀態與風險分數。
動態授權
Adaptive Access Control
每次存取皆動態授權,依即時風險決定是否放行或加強驗證。
微分段
Micro Segmentation
就像金庫被分隔成許多小隔間,攻擊者即使入侵某一區,也無法輕易橫向擴散。
政府零信任架構
2020 年美國國家標準技術研究院 NIST 頒布 〈SP 800-207〉,為產業發展奠定基礎。
2024 年資通安全研究院(隸屬數發部)公告〈政府零信任架構〉,規範政府機關導入零信任架構的規格,使公私部門得以依循相關標準。
TrustONE ZTA 零信任架構,完全依照資安院公告標準,以決策引擎為核心,透過 TrustGate 存取閘道提供即時驗證的加密連線通道。 TrustONE ZTA 零信任架構同時適用於機構對內、對外線上服務,亦適用於核心主機、資通關鍵基礎設施,實現無邊界、不依賴任何單一節點的安全保障。
零信任三大核心
身份鑑別
驗證、管理使用者身份。
TrustONE ZTA 支援密碼、MFA(E-mail 或 OTP)、FIDO 生物特徵辨識。
設備鑑別
驗證連線的來源裝置。
TrustONE ZTA 支援讀取設備 TPM、軟體式 TPM,為每個連線設備驗證獨一無二的「指紋」。
信任推斷
基於評估分數,允許或禁止連線。
以連線時間、地點、裝置環境為推斷基礎,亦可由 EDR、XDR 取得風險評估。
TrustONE ZTA 運作架構
fido 無密碼身份鑑別
傳統的密碼驗證,不僅要求使用者記住數量多又複雜的密碼,而且已被多次實證並非安全可靠:駭客可以暴力嘗試破解密碼、誘騙或取得洩漏的密碼。TrustONE 支援 fido 標準無密碼驗證,全面升級到 AAL3 身份驗證機制,使用者可以使用實體 Token、PIN Code 或搭配預先綁定的手機實現指紋、臉部辨識登入。
無密碼驗證讓使用者免於記憶、頻繁更換密碼之苦,更完全杜絕密碼洩漏導致的資訊安全危機。
Token / 智慧卡
以綁定的 USB Token 或感應卡、晶片卡作為驗證密鑰,該密鑰無法拷貝、偽造,每次驗證時皆需連接。 TrustONE ZTA 支援整合指紋辨識器的 Token。
Windows Hello
使用 Windows Hello 讀取比對使用者的臉部、指紋或 PIN Code 作為驗證身份的依據。
手機 fido
綁定 Android 或 iOS 裝置(無需安裝 App),每次驗證時,需以同一部裝置通過手機上的指紋、臉部辨識解鎖,即通過 TrustONE 身份驗證。
基於 TPM 的設備鑑別
在傳統的資安管理手段中,「限制特定設備方可連線」始終是困擾管理者的大課題。IP、MAC 位址可任由連線設備設定,不足採信,環境中的軟體甚至 UUID 都可被攻擊者輕易偽造。 TrustONE ZTA 提供以信賴平台模組 Trusted Platform Module 為基礎的設備驗證機制,取得屬於連線設備獨一無二的「指紋」,確保連線來源不受偽造。
TrustONE ZTA 信任推斷
TrustONE ZTA 可依來源 IP、連線時間與地點、設備健康狀態進行信任推斷計算,作為允許/禁止連線的判斷依據,即時阻止高風險連線。可由管理者手動指定允許連線時間,亦可由 TrustONE ZTA 學習使用者的使用規律,主動偵測異常連線。TrustONE ZTA 會偵測使用者端的作業系統版本、更新狀態、防毒軟體與 GCB 合規狀態,動態計算信任分數。除了即時攔阻高風險連線,更為管理者提供有效的風險評估數據。
連線 IP / 地理位置
作業系統更新狀態
連線時間
GCB / GPO 套用狀態
防毒軟體狀態
由 EDR/XDR 取得資訊
完整支援 SAML2 / OIDC
TrustONE ZTA 完整支援 SAML 2.0 與 OIDC,可作為身份驗證伺服器(IdP)為現有服務提供外部身份驗證;亦可作為消費方(SP)由現有身份驗證服務取得身份資訊。這意味著導入 TrustONE ZTA 之後,您不僅得到高規格的連線保護,還能快速為多個應用程式(支援SAML2/OIDC)部署單一登入服務(SSO);如果您的組織已經啟用 SSO,亦可令 TrustONE 從您現有的 SSO 服務取得身份驗證資訊,使用者無需改變使用習慣,避免資安或業務的陣痛期。