【回歸根本定義，捍衛網路戰爭的無形防線】零信任之父第一手導讀零信任架構

隨著網路安全威脅日益嚴峻，全球政府機構和企業正積極尋求創新方法來保護其數位與實體資產。在這一背景下，零信任架構（Zero Trust）逐漸成為最具影響力的安全戰略之一。全球率先針對零信任架構的提出者、也是現任Illumio傳道士John Kindervag，日前於國際半導體展（SEMICON 2024）召開的半導體資安趨勢高峰論壇，這是他二度訪臺並公開發表演說，也揭露並分享他對網路戰爭及零信任架構的深刻見解。

現代戰爭的範圍之廣，已經遠遠超越傳統的陸海空領域，隨著全球依賴數位基礎設施，網路空間成為空中、海洋、太空、陸地之外的第五個戰爭領域，全球的軍事、執法機構和企業，每天都在應對這場無形的戰爭。

John Kindervag強調，我們每天都在與網路戰爭對抗，從事網路安全的專業人士，並非只是維護簡單的防火牆IT設備，或進行日常的防毒軟體更新，而是每天都在對抗一個無形但強大的敵人，是一場關鍵的全球戰役。

「每天你所做的事都對全球的安全有深遠的影響，應該為自己的工作感到驕傲，因為這是一場與威脅全球安全息息相關的戰爭。」他說。

John Kindervag被譽為「零信任之父」，早在2010年9月14日，便發表了第一篇關於零信任的文章，正式提出這一資訊安全架構。

他回憶當時的情況：「當時沒有人認真看待零信任，很多人認為這個想法過於天馬行空，甚至是不可能實現的。」但他堅信，這是正確的方向，因為他後來又進行了兩年的研究，並建立了一個零信任的原型環境。

時至今日，零信任已成為全球網路安全戰略的重要支柱，也是網路安全的致勝策略。John Kindervag表示，零信任架構以「拒絕信任」為核心理念，要求所有系統、用戶和設備的信任等級都設定為「零」，從而有效地降低了網路攻擊成功的可能性。

2021年，美國總統拜登在一次演講提到：「聯邦政府必須推進零信任架構，並加快向安全雲服務的過渡。」這一政策要求美國各政府機構設立零信任計劃辦公室，並指派專責經理來推動該策略的落實。

John Kindervag便提到，他與美國政府的合作不僅限於聯邦層級，還涉及軍事領域，包括與美國軍事導彈防禦局討論如何將零信任應用於軍事設施及系統的保護上。

「這不僅僅是保護我們的網路資產，因為這些資產與實體世界緊密相連，必須同時受到保護。」他說。

零信任架構過去大家曾懷疑可行性，如今成為全球共識

John Kindervag身為全球第一個提出零信任架構的發起人，若回顧零信任架構的起源，可以溯及2010年9月14日，當時這一理念首次被提出時，並未引起太大的關注。

他說，最初發表零信任架構的演講，當時僅有14人參加，許多人覺得這個理念過於激進，甚至難以實施；然而，他在經過兩年的深入研究並獲得一些企業的支持，逐步完善了這一安全戰略。

但即便如此，零信任當時依舊是曲高和寡的資訊安全架構，直到2021年5月12日這一天，美國總統拜登發表聲明，要求聯邦政府全面推行零信任架構並且重視雲端安全之後，零信任架構瞬間成為全球重要的資安框架。

這也意味著，零信任理念從邊緣進入主流，還促使美國政府各部門紛紛設立零信任專責部門及管理辦公室，開啟了政府層面的零信任安全計畫。

「零信任架構不僅僅是保護數位資產，它同樣涉及保護實體設施，這一點在與美國導彈防禦局的合作中體現得尤為明顯。」John Kindervag指出，網路威脅與實體設施日益相關，任何數位攻擊都有可能轉化為實體威脅，對於軍事和政府機構更為如此。

零信任架構與傳統安全模式不同，零信任消除了內部系統的固有信任，拒絕信任傳統系統的任何內外部設備或用戶，無論內部網路還是外部設備，都必須接受相同的安全策略監控，並且對於每個用戶、設備和應用程式，設置了同樣嚴格的驗證和授權要求。

John Kindervag表示，「很多人將零信任與多因素身分驗證（MFA）混為一談，或者認為它只是VPN的替代技術，這是錯誤的觀念。」

他進一步解釋，零信任其實是一種戰略理念，能夠適用於任何組織，防止資料洩露並降低網路攻擊的成功率。

 零信任架構常見的4大謬誤（False）
 零信任是讓系統變得可信。（Zero Trust means making a system trusted.） 
 零信任是關於身分驗證的。（Zero trust is about identity.） 
 市場上有零信任的產品。（There are zero trust products.） 
 零信任非常複雜（Zero trust is complicated） 
資料來源： Illumio傳道士John Kindervag，iThome整理，2024年10月

打破傳統信任模型，零信任成應對內外威脅的新標準

傳統的信任模型是「內外有別」，對於內部和外部的信任程度並不一樣，這種方式在過去也主導了網路安全的策略。

然而，隨著內部網路和外部攻擊者的界限逐漸模糊，傳統的信任模型已經無法有效應對日益複雜的網路威脅。

在零信任架構中，每一個數位行為──無論是來自內部還是外部──都被視為潛在的風險，這意味著所有的流量、設備和用戶，都必須被持續監控和驗證。

透過這種方式，可防止攻擊者進入系統後的進一步擴展權限，從而有效降低了資料洩露的風險。

「人類的信任是一種情感聯繫，但在數位世界中，這種信任應該被完全消除。數位系統中的一切只是資料，沒有情感，只有0和1。」John Kindervag強調，信任只應存在人與人的互動，而不是機器與機器的通信。

隨著零信任的理念逐漸被全球政府和企業所接受，這一資安架構也不斷地演進和擴展。特別是隨著美國政府積極推行零信任政策，許多國家和跨國大企業也開始跟隨這一趨勢，並將零信任作為防禦網路攻擊的核心策略之一。

零信任不僅適用於網路資產的保護，還涵蓋對實體設施的安全保障，這一點在美國政府與導彈防禦局的合作中，也得到驗證。

他表示，隨著現代網路與實體設施的深度整合，如今的網路威脅，正逐漸演變為直接影響實體安全的風險。

零信任的另一個核心理念在於「分權管理」，目的就是為了防止過度授權所造成的內部安全風險。

過去，許多企業和政府機構的授權管理上存在過度信任，這使得內部威脅成為了網路安全的重大隱患。

他也特別提出曼寧（Chelsea Manning）和斯諾登（Edward Snowden）的案例說明，前者將超過70萬份美國國防部和國務院的機密文件，洩露給維基解密（WikiLeaks）；後者則向《衛報》和《華盛頓郵報》的記者洩露了大量的機密文件，揭露美國國家安全局針對全球互聯網通信和電話記錄的全球監控計畫。

這些內部威脅者，原本是系統中的「可信用戶」，擁有多重身分驗證措施，但由於缺乏對資料流量的監控，他們最終成功竊取大量敏感資料。

「這些案例揭露了傳統網路安全模式中的致命漏洞，意即進入系統後就可以自由存取的權限。」John Kindervag說。

「零信任的核心不僅在於身分驗證，而是基於身分驗證來決定用戶是否應該被授予存取權限。」他指出，這正是零信任架構與傳統安全策略的根本區別。

零信任架構在技術上被一些人視為複雜的安全實施，但實際上，它的理念非常簡單。

John Kindervag表示，他的好友Greg Tuhill將軍、被美國歐巴馬總統任命為美國首任美國聯邦首席資訊安全長便曾提及：「為什麼人們總是讓零信任聽起來那麼複雜。」

對此John Kindervag提出回應，他表示，這可能是因為人們喜歡把事情變複雜，才會顯得他們更加聰明。

但事實上，零信任的理念是直觀且易於理解的。因為，他認為，零信任的簡單性，恰恰就是它的力量所在。

他總結說道，只要可以正確理解零信任架構的基本原則，就可以作為一個強大的武器，幫助政府和企業在網路戰爭中，立於不敗之地。

用特勤局保護美國總統的策略來比喻零信任

為了能夠更好地理解零信任架構，John Kindervag透過美國特勤局如何保護總統的方式，進行比喻。

他表示，特勤局的保護過程也揭示了零信任三個核心理念的關鍵要素，也適用於網路安全中保護資料和資產的方式。

首先，特勤局始終知道「誰是總統」，這意味著他們不需要發現總統的存在，因為總統是他們全程保護的焦點。

這一點對應了零信任的概念中，必須先清楚了解需要保護的資產對象，並且無需多次驗證其存在。

其次，特勤局清楚總統的具體位置，知道「總統在哪裡」，確保在整個過程中不會弄丟總統。

這一點在零信任中對應的是資產的可視性，意即需要時刻掌握資料和關鍵資產的流向，並保證它們在預期的範圍內。

最後，特勤局嚴格控制「誰可以接近總統」，確保只有通過審查的人員才能靠近總統。

這與零信任中的授權過程類似，強調每個存取的請求都需要被精確審核，並根據具體需求進行動態管理。

這三個要素構成了零信任的核心，他表示，在充分理解這些原則後，零信任看起來就不會那麼複雜，而是極其嚴謹的保護策略。

Illumio傳道士John Kindervag以美國特勤局保護美國總統為例，解釋零信任的核心概念，那就是知道「誰是總統」、「總統在哪裡」以及「誰可以接近總統」。（攝影／黃彥棻）

深入分析特勤局的工作方式，可用來進一步說明零信任的內涵。

當我們看到特勤局人員執勤，有些人可能看起來只是站著，拉緊了外套，並未進行實際的保護工作，然而，這實際上是一種「安全劇場」（Security Theater）。

所謂安全劇場，是指那些看似保護措施的行為，實際上並沒有發揮任何實際保護作用，這類似於一些企業所採取的、僅具表面作用的安全策略。

相反的，真正的安全措施，是在更隱蔽且精確的位置進行的，這就是零信任中的「保護面」（Protect Surface），就是需要集中保護的關鍵資產範圍，這也是零信任的核心概念之一。

許多網路安全討論都集中在如何管理「攻擊面」（Attack Surface），但事實上，攻擊面不斷擴大，猶如無窮無盡的宇宙，幾乎無法完全控制。

因此，與其嘗試縮小攻擊面，不如將焦點轉向保護面，這一思路轉變，有助於企業集中力量保護最核心的資產，避免資源分散。

舉例來說，特勤局的保護對象並非每位民眾或整個城市，而僅限於總統及其家人，而這樣的保護策略，非常類似零信任的做法，重點在於精準保護，而不是試圖一網打盡，避免所有風險。

零信任運作強調動態權限與最小授權

特勤局的保護措施不僅靠近總統這個「保護面」，還建立緊密環繞在總統周圍的「微型邊界」（Micro-Perimeter），促使控制更為精確。

這意味著在零信任架構下，對於特定資產、資料或應用，要設置更精細化的安全邊界，以確保更嚴格的存取控制。

不過，在傳統的網路安全策略中，這種微型邊界周邊的控制措施通常放在外圍，例如：防火牆或端點裝置的安全工具，這些地方與真正要保護的資產相距太遠，從而產生「滯留時間」（Dwell Time），滯留時間是指：攻擊者成功入侵系統後，尚未被發現的時間。

長時間的滯留，會給攻擊者提供更多時間進行橫向移動，最終可能導致資料洩露。

而John Kindervag表示，零信任透過可視性和持續驗證，大大縮短了滯留時間，使得攻擊者無法長期隱匿於系統內。

在零信任模型中，可以隨時查看系統中發生的所有行為，針對所有存取請求，只有允許或拒絕兩種結果。

這種二進制的安全策略，意味著系統從最初，就不允許任何不受信任的行為進入，不是在事後試圖阻止潛在的威脅。

以美國特勤局的保護策略為例，只有經過特殊許可的特定探員可以接近總統，而保護總統的具體工具，如專車「野獸」，僅僅是交通工具，並不是保護的核心。他說，無論總統處於什麼環境，核心的保護策略始終不變。

同樣的，在零信任的框架下，則會通過動態的安全策略即時監控環境變化，不斷更新政策來應對潛在的威脅；特勤局也會即時更新威脅情報，通知相關人員進行應對，這類動態反應的策略與零信任所提倡的精準控制理念，不謀而合。

零信任的關鍵特徵是基於「需要知道」原則動態授予權限。在這個模式下，並不是試圖通過各種被動的安全措施阻止攻擊，而是從一開始就拒絕所有未經授權的請求，並只允許符合條件的存取。

舉例而言，當總統乘坐專車時，只有兩位特勤局探員可以接近他，這樣的精確控制符合零信任的「最小授權原則」，每位接觸資料或系統的使用者，都必須根據角色和任務，分配最小的存取權限，這樣可以最大程度降低內部風險。

而John Kindervag認為，這一動態授權過程的最大挑戰是：保持系統的精確可視性，只有清楚掌握每個存取請求的背景與目的時，才能根據具體需求來靈活調整授權策略，從而實現對內外部威脅的即時防護。

雖然許多人認為零信任是一個複雜的安全體系，但它的核心理念其實非常簡單。正如John Kindervag所說，這種安全模型只是基於「信任最小化」的基本原則進行設計，並不像傳統的安全技術那樣試圖解決所有問題。

通過將每個安全控制措施緊密圍繞在最需要保護的資產周圍，零信任大大降低了系統受到攻擊的風險。他表示，這不是一個技術上的複雜策略，而是應用簡單且嚴格的原則來防止潛在的威脅。

零信任架構的理念強調「永不信任，始終驗證」

隨著網路攻擊的頻率與複雜度不斷增長，零信任逐漸成為全球安全策略的核心框架之一，像是美國政府在其聯邦網路安全政策，便已經全面採用零信任作為防禦的主要模式，其他也有許多國際大企業和其他國家，開始將這一架構納入其安全防護計畫中。

隨著全球網路環境的不斷變化，零信任將在未來的安全框架中扮演愈加重要的角色，傳統的安全防護模式，已經無法應對日益複雜的網路威脅，這使得零信任架構成為當今網路安全的關鍵解決方案之一。

隨著各種資料外洩事件頻繁發生，John Kindervag表示，企業對於資料保護的需求變得越來越迫切，而零信任不僅適用於資料保護，還可以靈活應對實體基礎設施的安全需求。

在過去幾年中，也發生數起重大資料外洩事件，這些事件則揭露了傳統安全措施的缺陷，並強調零信任架構的重要性。

例如，某個大型企業的S3雲端資料庫，因為配置錯誤導致資料外洩，根據訴訟文件的顯示，這並非是單純的技術失誤，而是由於公司高層，故意放鬆了安全限制，以便能夠加快開發進度。

John Kindervag認為，這種錯誤的安全觀念就暴露出，企業過度依賴傳統安全措施的風險，他也強調了，零信任架構對於保護企業核心資料、資產的必要性。

正如美國特勤局保護總統的策略一般，零信任架構同樣關注「保護面」的安全。

這種方式，要求組織不僅僅是保護整個網路，而是專注於具體的資料、應用、資產或服務，確保這些核心資產得到最嚴格的保護。

他強調，零信任架構的理念強調「永不信任，始終驗證」，將每個進入網路的使用者或設備視為潛在威脅。

導入零信任架構的五步驟：從內向外的安全策略

零信任架構的實施並非一蹴而就，需要循序漸進的部署。

John Kindervag表示，零信任的實施可以分成五個步驟，這些步驟目的在於在簡化安全流程，確保系統的每個保護面得到充分保護。

Illumio傳道士John Kindervag分享導入零信任架構的五個步驟，而這套流程是針對企業量身打造，並且強調反脆弱性（Antifragile），意味著系統在面對挑戰時會變得更有韌性。（攝影／黃彥棻）

步驟1：定義保護面，確認DAS元素

導入零信任的第一步是：明確定義需要保護的核心資產、最具有價值的保護標的為何，就是「保護面」（Protect Surface）。

這些保護標的就是所謂的DAS元素，包括：資料、應用、資產和服務的縮寫。

他指出，許多組織或企業在部署安全措施時，往往未能確定具體的保護標的，而是依賴於現有的安全產品。

他認為，這種「從外向內」的安全保護方式很容易失敗，因為它忽視了內部核心資產的精確保護需求。

所以，零信任強調「從內向外」的設計理念，要求組織首先要確定哪些是關鍵資產，再圍繞這些資產，進一步建構安全防護措施。

他舉例說明，許多企業會認為，零信任就是透過採購不同的資安產品，就可以達到零信任架構的目標。

但問題的根源在於，不管買哪些產品，企業要保護的標的到底是什麼呢？

「只要是'無法確認保護標的為何，這個所謂的零信任就會失敗。」John Kindervag說，必須要先確認保護的資料或是資產是什麼，之後就會再以此為核心，往外設計。

零信任架構最關鍵就是要保護這些核心資產，但並不是要試圖保護整個網路。他認為，這種方式大大提高了安全防護的精確度，並降低潛在風險。

他說：「我們必須一次處理一個保護面。」許多人導入零信任架構會失敗的原因在於，因為他們試圖「一次性」實施零信任，但這是不可能的。

零信任架構成功的關鍵在於：必須可以將零信任架構，分解為「小而可管理」的部分來實施。

John Kindervag舉例表示，如果房子在正在翻修，通常是一次翻修一個房間，不會一次找來800個朋友，請朋友週末來幫忙房屋翻修工作。

他認為，一次完成一個房間，也是在零信任中應該做的事情，一次完成一個保護面。

「當你理解了自己在保護什麼標的之後，下一步，你需要了解這個系統如何作為一個整體運作。」他說。

步驟2：繪製交易流

John Kindervag認為，在實施零信任之前，必須全面了解系統的交易流，因為只有在理解這些流動的基礎上，才能準確地設計出合適的安全策略，以保護每個保護面，「所以，必須先理解系統如何協同工作，才能做到這一點。」他說。

他曾經看過某些公司系統完全崩潰，不在於零信任架構出問題，而是系統營運者不懂系統是如何運作的。

John Kindervag以德州一家COBOL Cowboys軟體顧問公司為例，COBOL是許多金融業、老舊大型主機系統還在使用的程式語言，但現在許多工程師不懂COBOL，一旦遇到問題，企業會尋求COBOL Cowboys這類程式語言專家，提供協助。

不過，他也坦白表示，這些COBOL專家其實多數都已經非常年長，未來倘若這些專家都過世的時候，當系統一旦出包，沒有這些年長的COBOL專家幫忙時，又該由誰提供協助呢？

所以，他認為，繪製交易流（Map the Transaction Flows）的主要目的就是，為了深入理解系統中各個組成部分之間的交互和資料流動，了解這些交易流之間的依賴關係，並確定從起點到終點的每條交易流路徑的風險分析等。

「通過了解交易流，組織能夠更好地識別可能的風險點以及如何最有效地保護資產。」他說。

而這些內容包括：資料的傳輸方式、應用程序之間的通信，以及每個用戶或設備如何存取特定資源等。

最終，就是幫助企業深入理解它們的應用和資料流動，以便設計出精細的安全策略，確保對每個流進行嚴格的控制和管理。

步驟3：設計零信任環境

John Kindervag認為，零信任架構的實施過程需要分階段進行，而不是一口氣完成，這過程則與翻修房子類似，一次只專注於一個房間，確保每個部分都得到妥善處理。

他指出，如果企業或組織嘗試同時處理所有的保護面，只會導致混亂與失敗；但若透過逐步實施，企業和組織可以逐步完善其安全策略，從而實現更加可靠的網路保護。

因為每個零信任架構的環境，都必須針對「保護面」量身打造，絕對不是一個通用的方案。

若以美國特勤局對美國總統的保護政策來看，這是針對總統本人量身訂做的保護策略，並且會依照總統所在不同地方而有不同的保護策略，對於保護總統的安全，特勤局並沒有一套「通用」的保護策略。

「設計零信任環境（Architect a Zero Trust environment）」這個步驟，是整個零信任實施過程中的核心部分，目的是將對交易流（Transaction Flows）的理解，轉化為具體的安全架構，規畫並建構合適的技術、安全策略和管理方法，確保網絡中的每個元素都能根據零信任的原則得到保護，最大限度地減少信任帶來的風險，確保所有資產和交易流的安全性，以實現全方位的零信任安全保護，

如何針對不同保護面，設計不同的保護方案呢？

首先，可以在每個「保護面」周圍設計微型周界（Micro-Perimeters），將保護目標和周邊的其他系統隔離開來，對每一個保護面進行精細的控制和保護，以減少不必要的攻擊面。

其次，選擇合適技術來實現安全控制，包括多因素身分驗證（MFA）、微分割（Micro-Segmentation）、加密技術、身分與存取管理（IAM）等，來確保每個資產和交易流都得到了合適的保護。

第三，設計一個政策自動化與應用的架構，使得系統能夠基於預定的安全政策，自動做出允許或拒絕的決定。這樣的政策應根據每個保護面的特定需求，結合對用戶、設備、應用程序的存取需求和風險評估，進行精細化設計。

第四，確保所有的保護面都能夠被持續地監控，並且可以即時反應異常活動或潛在的威脅，讓這些管理和監控系統，能夠提供完整的可視性，並能根據即時資料，快速應對網路事件。

步驟4：制定零信任策略

John Kindervag 的制定零信任策略（Create Zero Trust Policy），是整個零信任架構中至關重要的一步，零信任的核心原則，即「永不信任，始終驗證」，目的就是通過設計一套精細、動態且基於風險的存取控制政策，來確保組織內部所有的資料、資產和應用的安全性。

他進一步指出，零信任是一組粒度細緻的允許規則，組織或企業則會根據個人的工作職能角色，來允許他們可以存取的資源。

這個步驟目的是，為組織內的資料、應用、資產或服務（DAS元素），按照最小權限（Least Privilege）和「始終驗證」的原則，建立一套嚴格且細緻的存取控制政策，從而最大限度地減少安全風險，並且提高網絡的整體安全性，以保護每一個「保護面」。

而零信任的策略是二進制的，對於每個請求，都只有「允許」或者「拒絕」這兩種結果；零信任策略也是動態的，系統會根據當前的情境，例如用戶的身分、設備的狀態、位置、行為模式等，動態地調整存取控制策略，可以根據風險狀況，對某些存取進行額外的驗證或限制，確保系統安全性。

至於這些制定的零信任政策，則必須套用在防火牆等網路設備中，並做到自動化執行和即時回應，確保相關政策和網路設定政策一致，也降低人為錯誤的風險。

步驟5：持續監控與維護

John Kindervag提出的零信任架構中，第五個也是最後一個導入步驟就是持續監控與維護（Monitor and Maintain），目的是通過不斷的監控、資料收集和分析確保系統的安全策略能夠動態應對各種威脅，並且根據新的風險情況對策略，進行調整和維護，以保持整個系統的安全。

具體作法上，即時監控所有的交易流和存取行為，以確保可以符合先前制定的安全策略，包括：使用者的身分驗證、設備狀態，以及應用程式之間的互動，透過持續監控，組織才能發現不正常活動或可能的安全威脅，及時應對。

在監控過程中，系統收集包括網路流量、設備狀態、使用者行為等資訊，可以協助組織用來了解並分析網路內部動態，並做出相對應的防禦措施；同時，根據監控分析結果，動態調整並優化安全策略，以因應新的威脅和風險。

此外，在監控基礎上，建立自動化回應機制，以便即時發現異常活動。例如，系統檢測到某個設備異常時，可以自動啟動限制存取，或是啟用額外的驗證程序，以減少人工介入的時間和誤差。

John Kindervag推動零信任架構最重要的使命就是，讓各界關注的焦點，從身分認證轉向分割技術（Segmentation），因為，分割技術是啟動零信任旅程的關鍵技術，身分認證雖然重要，但是還是次要的。

他解釋，通過網路分割、縮小信任範圍的方式，可以做到最大限度地降低攻擊面，並提高安全性的目的。

他指出，網路分割使得網路不再是一個單一、易於攻擊的大範圍，而是被劃分為若干小型、精細化控制的「保護面」，每個保護面都有自己的微型周界和安全控制措施，而所有的存取，都需要根據動態的策略進行驗證。

而這樣的設計，不僅能夠減少攻擊者的入侵機會和橫向移動風險，還能確保每一個資產的安全性得到保障，真正實現「永不信任，始終驗證」的零信任原則。因此，網路分割也成為零信任架構中不可或缺且基礎的部分。