完備零信任的最後一哩路

混合工作模式從疫情的權宜之舉，成為普遍可見的現況，包括遠距辦公、線上會議、手機收發信件，或從外部連線使用企業內部系統。但也因為企業內外網的邊界不再涇渭分明，形成了更複雜的資安風險，例如：入侵手法從突破網站及防火牆等邊界轉為竊取身分資料，如何從內到外確保連線的安全性，就成為亟需改革的重點。

以 SSE 一舉解決舊模式的建置及使用課題

傳統以防火牆搭配 VPN 的作法，已無法因應當前雲服務普及、手機及行動需求激增的狀況。對 IT 或資安人員而言，防火牆、VPN 及企業內部系統各有不同的身分驗證方式，這種各自為政的模式難以掌握資安全貌，無法立即識別哪個使用者的帳號有問題，進行調查工作時也會有所遺漏。

對使用者而言，各自為政的資安機制，意味著必須記憶多組密碼，每個系統允許的連線時間長短不一，強制變更密碼的週期也不同，疊加的複雜度導致負面的使用體驗。此外，不同的資安系統需要相對應的技能與人力，隨著企業的擴編或擴點，傳統資安硬體的支出必然隨之攀升，如何聚焦並投資在真正關鍵的系統將是優先要務。

以零信任架構為前提，微軟 SSE（Security Service Edge）運用明確、簡單、高效率的方式，解決網路連線的重要課題。彈性的部署方式因應三種常見的應用情境，分別是為 Microsoft 365 提供安全登入的 Secure Access Essentials、連線 SaaS 和外部雲服務的 Microsoft Entra Internet Access，以及針對從外部連入企業內部使用系統的需求，加強服務連線的安全檢查的 Microsoft Entra Private Access。

微軟 SSE 的主要特色是以身分為核心來實行限制和持續驗證的機制，以解決網路連線的資安課題。身為雲平台的營運商，微軟長期推動身分驗證服務，從 Azure AD 進化到 Entra ID，協助企業組織隨時動態偵測及判斷存取雲服務的使用者是否為本人；此外，Entra ID 也能橫跨企業內部系統，以及包括微軟和協力夥伴在內的外部雲服務，統一實行條件式存取的管控，並提供報表列載使用者登入的地點、IP、裝置、使用服務及登入被拒的狀況。

值得一提的是微軟在網路基礎架構的優勢。透過微軟在全球佈建的 70 多個 Azure 區域中心及遍布全球的海纜頻寬，使用者以 Azure 雲服務入口完成身分驗證，再透過微軟網路骨幹連回企業存取資源或使用就近的雲服務，不會佔用企業投資的對外頻寬，也能解決企業自建防火牆或 VPN 導致員工必須搶用頻寬的瓶頸。

連結內部服務的架構及應用解析

Microsoft Entra Private Access 針對從外部連結企業內部服務的應用模式，以零信任架構為原則，在無需投資任何硬體設備且免於維運負擔的前提下，取代原有的 VPN 功能。

以往在缺乏零信任建置的情況下，企業是以建置 Site to Site VPN 來確保更高的安全等級，而且必須使用更昂貴的設備才有多因素驗證、裝置納管等進階功能。此外，使用者經由 VPN 進入 VLAN 後，權限並未被限縮或控管，駭客在竊取身分後就能輕而易舉透過橫向移動來發動攻擊；即使使用者從企業內部連線使用系統，在身分可能遭竊的潛在風險下，也難以確保安全性。

由於微軟 SSE 無需建置任何硬體，而且提供跨平台支援單一簽入機制，包括 Windows、Android、MacOS，傳統 VPN 得以快速轉換為零信任網路存取。員工無論位於企業內部或外部，每次連線都必須通過 Entra ID 搭配多因素驗證的身分驗證機制，企業可自行設定驗證等級，例如：只驗證身分、身分搭配納管裝置，或是裝置的端點監控（EDR）需與 Entra ID 訊號連動以防堵惡意軟體；接下來，就能進行應用程式區隔，也就是依據不同應用程式來釋放連線權限。

舉例來說，為了確保使用者連線企業內部機敏的檔案伺服器，以往必須加購設備或建置雲端虛擬桌面，形成額外的成本。但透過 Microsoft Entra Private Access，則可要求使用者重新登入並進行多因素驗證，完成登入程序、使用者帳號、使用裝置的三層驗證後，才放行使用者存取內部檔案伺服器。

至於從企業內部建立與 Microsoft Tunnel 的連線機制，企業只需開啟外連通道，連結微軟 Entra ID 服務檢核有哪些使用者正在等待連線並為其建立通訊會期，此舉可完全免除 NAT 設定，無需建立接入埠或轉接埠，藉此確保最高的安全等級，微軟 SSE 還會持續檢核連線是否有效，避免通訊會期被竊取的風險。

連線外部服務的應用及防禦措施

Microsoft Entra Internet Access 以安全服務閘道的設計來管控對外部服務的存取，包括 SaaS 服務如 Microsoft 365、社群網站等。由於這些服務都必須在外部網路完成身分認證，Microsoft Entra Internet Access 擔任 SWG（Secure Web Gateway）的功能，有效整合存取控管，避免員工帳密遭竊。

更重要的是，Microsoft Entra Internet Access 以快速部署的優勢，將條件式存取政策延伸到外部網路的作法，即時判斷員工登入或裝置是否有異常，定期檢核連線是否出現可疑來源；此外，在員工連線外部服務的過程，也能避免遭到駭客竊聽或攻擊。

Microsoft Entra Internet Access 還能限制經過企業認證或納管的裝置才能存取特定外部服務，避免員工將資料轉移或存入至個人的雲端硬碟。舉例來說，OneDrive 提供個人版和企業版服務，透過微軟 SSE 就能確保員工在認證裝置僅能存取企業版 OneDrive，無法將資料轉入個人版 OneDrive。

此外，過去以防火牆或快取伺服器執行網站過濾的功能，也能交由 Microsoft Entra Internet Access 結合 FQDN（Fully Qualified Domain Name）做名單的管控。資安人員可預先針對不同部門設定安全權限，清楚掌握哪群使用者透過網際網路連線、適用哪個設定檔組合，例如：各個部門禁止存取的外部網站或有差異，即使外部使用者不先經由 VPN 連回公司網路，也能進行內容過濾，避免使用者位於企業外部而無法被快取伺服器等機制管控的狀況，防堵者瀏覽高風險網站或被導引至惡意網站，後台則會保存所有稽核記錄以供調閱。

Microsoft Entra Internet Access 還可使用預設政策來檢查使用者行為是否有異常，例如：陌生的登入 IP，並以條件式存取要求使用者進行多一層的身分認證；避免員工從企業使用的外部雲服務下載資料到個人電腦。為了防禦重送攻擊（Token Replay）並避免駭客藉機竊取帳密，Microsoft Entra Internet Access 可追溯連線的原始 IP，一旦認定這個連線可疑或有風險，就會要求正在連線的使用者重新進行認證。

微軟 SSE 以身分為核心結合條件式存取，包括員工以哪個身分、使用哪部設備、從哪個位置或網路連入企業，落實零信任在身分、端點、驗證、授權、權限的核心原則，結合精密的權限設定更可避免提權造成的入侵風險，例如：限制可使用的系統或服務、可存取的資料、可執行的讀寫動作。換言之，微軟 SSE 跳脫網路的框架，以身分為核心，有效解決連線的安全疑慮，並以彈性的部署方式，協助企業快速且安全的因應當前的混合工作模式。

國內外政府在零信任的關鍵第一步

零信任無法一步到位，但第一步的選擇攸關重大。從台灣到美國，政府機構常見的作法就是從外包商的安全管理著手，做為推動零信任管理的先導專案，不僅阻力較小且更容易展現成效。

以台灣某中央機構為例，由於部分外包商位於台灣中南部，必須開放遠端存取，但只以帳號做為身分驗證且共用帳號的情況很常見，而且登入成功後可獲得相同於本機電腦的作業模式，由於缺乏多因素驗證、控管機制及服務高可用性的配套，潛藏的資安威脅一觸即發。

該機構選擇與微軟合作，使用 Microsoft Entra Private Access、Enterprise Mobility、Security Suite 等解決方案，以半年時間進行測試，主要鎖定三種情境角色，分別是外部廠商、外部員工、內部員工，並在完成驗證後，先從外部廠商著手推動，以零信任網路架構取代舊有的 VPN。

採用零信任之後，外包商的連入裝置都必須進行合規檢查且限定台灣地區 IP，同時在本地私有應用程式和資源強制執行自適應多因素身分驗證，換言之，透過更為精密的條件驗證，精準控管外包商可以看什麼、可以做什麼，以及可以存取哪些應用程式、檔案、資料庫及命令存取工具。

美國政府機構同樣使用 Microsoft Entra ID 來落實身分要求，並整合原本各自獨立運作的身分解決方案，達到降低複雜度、提升使用者控管及可見性的目標。舉例來說，以應用程式層級來看，個別實施多重身分驗證，可執行更精細的控制；以使用者角度來看，為員工、承包商和合作夥伴啟用防網路釣魚身分驗證，可在授權存取資源之前，先行評估設備資訊以增強安全性。

美國國防部就於 2024 年展開零信任網路架構的建置，採用微軟的整合解決方案，解決過往單點組合產品的高成本、高風險問題。值得一提的是，為了促進跨組織協作的安全性，美國政府機構採用 Microsoft Entra External ID 來進行跨雲端存取，這個作法無需為協作夥伴提供單獨憑證以存取其內部的應用程式和檔案，不僅大幅減少網路攻擊面，協作夥伴也能免於為多套個識別系統維運多組憑證的管理負擔。

從台灣到美國，微軟持續與政府攜手合作，除了進行產品驗證以確保符合法規要求，並透過整合解決方案來協助推進各個政府機構在零信任網路架構的部署，確保零信任政策的落實。