在數位轉型浪潮下,企業面臨的資安挑戰已經不再只是「防堵外敵」。駭客攻擊手法持續進化,從釣魚郵件、惡意程式,到今日的憑證竊取、內部人員外洩、供應鏈攻擊,威脅來源早已不限於企業的網路邊界。更重要的是,遠距工作與雲端服務的普及,讓企業的「邊界」越來越模糊,傳統以邊界防護為核心的資安架構,逐漸無法應對新型態的威脅。
根據 Verizon 2023《資料外洩調查報告(DBIR)》顯示,超過 80% 的資安事件涉及帳號或身分憑證外洩,這意味著僅依靠傳統防火牆或 VPN 的防護已不足以確保企業資料安全。這樣的背景,正是「零信任(Zero Trust)」開始受到全球關注的原因。
什麼是傳統資安防護?
傳統資安防護(Traditional Security Model),又常被稱為「周圍網路安全性(Perimeter Security)」,其核心概念是建立一道「城牆」來保護企業資產。只要駭客被阻擋在外,內部網路與資料就相對安全。這種模型在 1990 年代至 2000 年代非常盛行,因為當時大部分企業的資料與應用程式都集中在公司內部網路中。
傳統架構常見的工具與技術包括:
- 防火牆(Firewall): 阻擋未經授權的流量進入內部網路。
- VPN(虛擬私人網路): 讓員工能夠從外部安全連入內部網路。
- IDS/IPS(入侵偵測與防禦系統): 偵測異常流量並進行防護。
- 存取控制名單(ACLs): 控制哪些帳號或裝置能進入系統。
這種模式在過去確實有效,因為「內部可信、外部不可信」的假設與企業運作相符。然而,隨著雲端與遠距辦公的普及,這種假設逐漸失效。
傳統資安防護的限制
- 遠距與行動辦公普及
當員工不再集中在總部工作,而是分散在家中、咖啡廳或跨國據點時,VPN 成為唯一的連線防線。然而,一旦帳號或密碼外洩,駭客就能繞過防火牆,直接取得內部資源。
- 雲端與 SaaS 興起
許多應用與資料不再只存放在企業伺服器,而是分散於 AWS、Microsoft 365、Google Workspace 等雲端平台,這讓傳統防火牆失去防護效益。
- 帳號密碼外洩事件頻繁
IBM《Cost of a Data Breach Report 2023》指出,憑證竊取仍是導致資料外洩的最常見原因之一,平均造成企業 445 萬美元的損失。這意味著即便企業投入防火牆與 VPN 建設,只要帳號外洩,整個防線仍可能瞬間失效。
什麼是零信任(Zero Trust)?
「零信任」(Zero Trust)最早由 Forrester 分析師 John Kindervag 在 2010 年提出,他在研究報告中指出,傳統的「信任邊界」概念已不合時宜,因為駭客一旦突破邊界,內部資源將毫無防禦。因此,零信任強調 「永不信任,持續驗證」(Never Trust, Always Verify)。
美國國家標準與技術研究院(NIST)在 2020 年發布的《NIST SP 800-207 Zero Trust Architecture》中,進一步將零信任定義為:所有存取請求必須經過驗證,無論來源是內部還是外部。
零信任的三大核心原則
- 永不信任(Never Trust)
不預設任何裝置、使用者或應用程式是安全的。即便來自公司內部網路,也必須通過身份驗證與裝置檢測。這樣能降低內部人員濫用權限,或帳號外洩被駭客利用的風險。
- 持續驗證(Always Verify)
Microsoft 在其 Zero Trust 指南中強調,「驗證應該是持續的,而非一次性的登入檢查」。零信任要求在整個使用過程中持續監控,例如登入地點、裝置狀態、行為模式是否異常。
- 最小權限原則(Least Privilege Access)
零信任的另一核心是「最小權限」。使用者只被授與完成任務所需的最低限度權限,避免駭客或內部人員在獲取憑證後能大範圍存取資料。
零信任架構五大支柱:
根據 CISA Zero Trust Maturity Model 與 NIST SP 800-207,零信任架構主要由以下五大支柱構成:
- 身分識別(Identity)
確保所有存取行為皆經過嚴謹身份驗證與授權,採用多因素驗證(MFA)、行為式驗證及持續身份風險評估。 - 設備(Devices)
管理與監控存取企業資源的裝置,確保設備符合安全基準,如作業系統版本、漏洞修補、惡意程式防護狀態,並依裝置健康狀態決定授權範圍。 - 網路(Networks)
實施微分段,給予最低授權的允許,例如在特定時間內,以及特定資料,僅允許驗證授權流量通行,並持續監控異常行為,阻斷橫向移動攻擊。 - 應用程式與工作負載(Application and Workload)
保護企業內外部應用程式與雲端、容器化服務工作負載,控管應用存取權限、API 安全與應用行為監控。 - 資料(Data)
對敏感資料實施分類分級、全程加密與權限控管,確保資料在儲存、傳輸與使用過程皆符合資安政策,並可溯源追蹤異常存取行為。
零信任的實際應用情境
- 遠距辦公
在員工從不同地點登入系統時,零信任能持續驗證裝置與身份,而不僅依靠 VPN。這在 COVID-19 之後成為許多跨國企業的必要做法。
- 雲端應用存取
隨著越來越多企業將核心業務移至雲端或採用 SaaS 平台,零信任能確保對這些應用的每一次存取都經過完整驗證,即使使用者在任何地點或裝置登入,也能維持高度安全性。
- 高敏感產業
金融、醫療、政府單位因為涉及敏感資料與合規風險,已逐步採用零信任作為新世代防護。例如美國國防部已要求零信任作為 2027 年的安全標準。
Keypasco ZTA
「Keypasco ZTA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
- 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
- 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
- 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。
Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。
👉立刻點擊聯繫來毅專員,了解您的企業該如何導入零信任
零信任 vs 傳統資安防護的比較與優缺點分析
隨著企業資安威脅持續升級,了解零信任與傳統防護的差異,對企業決策者至關重要。來毅簡單整理兩者的核心差異:
| 比較項目 | 傳統資安防護 | 零信任 |
| 信任假設 | 內部網路可信,外部不可信 | 永不信任,所有請求都需驗證 |
| 身份驗證方式 | 單點登入,通常一次性 | 持續驗證(Continuous Verification)、多因素驗證(MFA) |
| 權限管理 | 一次授權,多數人有廣泛存取 | 最小權限原則(Least Privilege),依角色及風險動態授權 |
| 網路架構 | 單一邊界防護,依靠防火牆/VPN | 微分段、動態存取控制,無邊界假設 |
| 對雲端 / 遠距辦公適應性 | 限制多,需額外 VPN 或安全閘道 | 高度適應,內建雲端與遠端使用者安全驗證 |
| 主要弱點 | 帳號外洩或內部威脅易突破防線 | 實施成本較高,需要技術整合與流程調整 |
未來趨勢
未來資安趨勢:零信任將成為主流
隨著數位轉型加速,雲端服務、遠距辦公、第三方協作已成為企業日常,傳統的邊界型資安防護逐漸顯得力不從心。根據 Gartner 預測,到 2025 年,全球 60% 的企業將採用零信任作為資安策略的核心基礎。
此外,勒索軟體與帳號外洩攻擊仍持續上升。Verizon 的《資料外洩調查報告》(2022)顯示,超過 80% 的外洩事件涉及憑證濫用或弱密碼問題。這代表企業若不積極升級防護,極可能成為攻擊者的目標。
在這樣的趨勢下,零信任不再只是選項,而是未來企業資安韌性的必備基石。
零信任的價值:從「防護」到「信任」的重建
零信任不只是技術框架,更是一種全新的資安思維。它的價值體現在:
- 強化使用者身份驗證:確保只有真正授權的使用者才能存取關鍵資源。
- 降低內外部威脅:即使駭客入侵,也難以橫向移動或擴大攻擊範圍。
- 支持數位轉型:為雲端、行動化與 SaaS 環境提供長期穩健的防護。
最重要的是,零信任能幫助企業重建「數位信任」,不僅保護資料,更保障品牌聲譽與客戶信心。
傳統防護的邊界思維已經無法因應現代威脅。零信任架構透過 「永不信任,持續驗證」 的原則,搭配 多因素驗證(MFA)、最小權限原則與持續監控,為企業打造更全面、更韌性的防護。
然而,導入零信任並非一蹴可幾,它需要策略性規劃、分階段實施,以及專業的導入夥伴。
👉立刻點擊聯繫來毅專員,了解您的企業該如何導入零信任