資安新常態 零信任成顯學
在新冠肺炎疫情驅動下,行動辦公已成為現代工作者主流的模式,導致原本針對內網部署的資安機制大多不再適用,企業必須適時調整控管措施,以因應比以往更多攻擊面向的入侵威脅,也促使近幾年資安業界倡導的零信任(Zero Trust)安全架構成為市場矚目的焦點。
零信任安全架構防護旨在把關攻擊活動橫向移動與避免資料外洩,主要的概念是預設狀況下不應該信任終端設備接取內網線路。目前多數企業IT環境,內部網路切分為多個相互連接的網段,無論存取部署於地端資料中心或公有雲平台上的企業應用系統,或者直接採用SaaS模式,只要從內部可信任區域發起的連線皆視為安全。但在大量使用者為遠距行動工作的情況下,網路安全邊界已然消失,企業勢必須設計對連網裝置與帳號採行多重驗證以確定為本人,才能避免被攻擊者竊取帳密,利用非法手段執行合法程序。同時企業須制定工作流程控管政策,藉此建立正常行為基礎準則,再運用現代資安工具輔助監控,讓不同型態應用模式下的資安風險皆可獲得控制。