近年來，在資安防護的觀念上，零信任概念越來越熱門，不僅資安專

家、廠商都在提倡，美國國家標準暨技術研究院（NIST）在 2020 年

8 月也發布了 SP 800-207 標準文件，探討並說明如何建立零信任架

構（Zero Trust architecture，ZTA）。

不過，儘管 ZTA 概念持續發展，逐漸成形，但還是有很多人對 ZTA

僅有著模糊的概念，對此，臺灣科技大學教授查士朝從 ZTA 的迷思

與導入策略談起，讓大家更瞭解 ZTA。

打破迷思，零信任其實還是存在信任關係，

不純粹信任網路邊界才是重點
對於零信任架構大家的認知是什麼？是指全部都不信任嗎？查士朝

指出，多數人可能因為零信任架構這樣的名稱，而有了很多誤解。
他說明，在企業防禦上，以往採區隔信賴邊界的做法，作為信任與否

的憑藉，但在沒有區隔信賴邊界狀況時，就會變成所有的元件，都要

經過重新經過安全的分析，才能判斷一個服務到底安不安全。

然而，不論使用資訊服務或任何事，其實一定都會存在某種程度的信

賴基礎。他舉例，像是基於對於憑證管理中心（CA）的信賴，而去

建立安全連線與簽章，相信對方是真的連接對象；基於對伺服器硬體

的信任，因而在上面部署各式服務；以及基於對程式編輯器的信任，

而使用它來開發程式。

因此，大家在理解零信任時，並不表示任何東西都不能信任。他解釋，

我們不能只信任內網的使用者，但也不能單純不信任外網的使用者，

重點其實在於：不能單純因為邊界，而去決定要不要信任使用者。

這是因為，傳統強化邊界的方法，在面對新興存取方式時有著不少挑

戰。例如，10 多年前就興起的 BYOD 浪潮，而現在有更多企業將資

料放上雲端，加上這一年來 COVID 19 使遠端工作成常態，因此，在

NIST SP 800-207 的 ZTA 文件中，就特別強調 ZTA 是針對目前依些

新興存取行為的因應對策。
較為具體地零信任概念（Zero Trust architecture，ZTA）
，是在 2010

年由 Forrester Research 前副總裁 John Kindervag 提出。

進一步探究近代零信任概念發展與現況

關於零信任概念的發展，追溯最早的起源，查士朝認為，可以說是來

自於無心插柳的結果。在 2003 年 Jericho 論壇上，那時討論的主軸，

是關注於網路資源在不同企業的共享與利用，可以去除企業之間的邊

界，因此主要是聚焦無邊界趨勢下的網路安全解決方案。不過，當時

論壇延伸出的技術探討，也成為了零信任後續發展的基礎。

較為具體的零信任概念，是在 2010 年出現，由 Forrester Research

前副總裁 John Kindervag 提出。John Kindervag 認為，裝置不再

有信賴與不信賴的邊界，以及不再有信賴與不信賴的網路與使用者。

查士朝舉例，像是不因內網或外網而有信任或不信任的情況，也會不

會有絕對信任的使用者，而是判斷用戶行為與情境，再去決定相關權

限。

關於零信任架構的邏輯與重點，查士朝分別從 2010 年 John

Kindervag 提出的內容，以及 2020 年 NIST SP 800-207 所公布的內

容，來說明發展現況。

查士朝表示，以 John Kindervag 的零信任考量重點來看，主要有 4

大核心，包括：使用整合的分割閘道器（Segmentation gateway）

為網路核心；建立平行且安全的網路分隔；需考慮網路後臺的集中管

理；以及建立資料蒐集網路，以掌握網路的完整狀況。

而以 NIST SP 800-207 而言，在 ZTA 的核心元件中，也可瞭解當中

的信任判斷依據。查士朝強調的部分在於：對於任何關鍵資源，在存

取前都要檢查使用者是否有權限。因此，需要經過存取控制的政策落

實點（PEP），做到權限的檢查，而在檢查過程當中，將透過政策決

策點（PDP）來判斷是否有權限做這樣的事情。並且，此一過程將考

慮到更多面向的資訊，包括資料存取政策、SIEM、活動記錄，以及

威脅情資等 8 類資料來源，幫助決定存取決策。
而 ZTA 上述作法，更是具體說明了零信任還是有信任關係存在。查

士朝指出，因為，在上述 ZTA 核心元件中，現在至少還是會信任某

些元件，例如 PEP 與 PDP，只不過 ZTA 會要求在存取前，必須要做

到檢查。

為了說明 NIST SP 800-207 中的 ZTA 邏輯元件組成，查士朝也特別

將該架構圖翻譯成中文，讓現場聽眾可以更直覺了解 ZTA 的核心邏

輯元件。同時，他也點出 ZTA 其實還是會信任某些元件，那就是關

鍵的政策落實點（PEP）與政策決策點（PDP）。

ZTA 並非獨特架構，而是告訴大家安全

上應考慮的原則
現在 NIST SP 800-207 所描繪的 ZTA，與 10 年前有何差異？查士朝

認為，在於增加了對於風險或存取情境的存取控制考量。

他解釋，現在的 ZTA 不只是要看到風險的結果，還要能基於風險評

估的結果，去決定是否能夠存取，而且，現在 ZTA 不再強調是特定

架構，而是列出一些教條，也就是 7 大原則，讓各式實作能依循以符

合 ZTA。

基本上，ZTA 設計的 7 大原則，包含：（一）所有的資料來源與運

算服務都要被當作是資源；（二）不管適合哪個位置的裝置通訊，都

需要確保安全；（三）對於個別企業資源的存取要求，應該要以每次

連線為基礎去許可；（四）資源的存取應該要基於客戶端識別、應用

服務，以及要求存取資安可觀察到的狀態，以及可能包括的行為或環

境屬性，去動態決定；（五）企業監控與衡量所有擁有與相關資訊資

產的正確性與安全狀態；（六）在允許存取之前，所有的資源的身分

鑑別與授權機制，都要是依監控結果動態決定，並且嚴格落實；（七）

企業應該要盡可能收集有關資訊資產、網路架構、骨幹，以及通訊的

現況，並用這些資訊來增進安全狀態。
因此，從這些原則所關注的焦點來看，簡而言之，就是識別可存取資

源、連線安全、妥善存取控制、考量存取者狀態、了解資源狀態，以

及監控裝置與資源風險，持續蒐集資訊與改善。

至於 NIST 中 ZTA 有那些新的重點？查士朝歸納出 3 大重要項目來

說明。

首先是，可存取資源的識別，基本要知道哪些資源可被存取，那些資

源不能被存取；其次，使用者層級的權限控制，需考慮使用者的身分，

透過身分層級去做存取控制；最後，是在存取控制加入對風險的考量，

透過風險考量每次決定使用者是否存在相關風險，判斷是否能夠存取

資源，動態改變存取的原則。
在近年 ZTA 參考設計的主軸來看，查士朝強調 3 大重點，可存取資

源的識別、使用者層級的權限控制，以及存取控制加入對風險的考

量。

ZTA 也不是要立即替換既有邊緣安全機

對於企業該如何導入 ZTA，查士朝認為，市場上有提到 4 種部署方

式，包括基於資源、限制區域、雲端與微分割的部署方式。這些是企

業在導入 ZTA 時，可參考與評估的重點。

舉例來說，以基於資源的布署方式而言，在每個資源存取之前，都要

經過相關的管控機制，他以 BYOD 或遠端工作情形為例，如果使用

者端裝置都沒有安裝任何 MDM 相關軟體，將只能夠以訪客身分存

取，並且不允許存取受保護的資源，如果裝置安裝了保護軟體並經妥

善設定，才能夠依使用者的身分與狀態，存取這些受到進階保護的資

源。因此，在這樣的概念中，不只是資源存取的強化，也包含了存取

者風險狀態的綜合考量；此外，他也針對基於雲端的布署方式做說明，

企業除了在雲端設置一個存取閘道，控管上將有兩種選擇，可將 PEP

與 PDP 設置於企業內部或是雲端。
不過，這部分他更想談論的是，既有邊緣安全機制是否無用之地？他

指出，這些防護設備在 ZTA 中，其實都還是能夠發揮一定的效果。

例如，原本的身分識別與存取管理（IAM），在 ZTA 中仍需要提供

身分鑑別與存取控制資訊，次世代防火牆（NGFW）可做為 PEP，但

通常還要加入對於裝置安全的考量，而入侵偵測與防禦系統（IDP/IPS）

也能與 ZTA 整合。

其他網路設備同樣會有合適的作用，像是網路防火牆，在某種程度上

還是可以扮演政策執行點的角色；Web 應用防火牆（WAF）仍可用

來減少攻擊介面；網路存取控制（NAC）可做為限制存取客戶端的

初步手段；至於負載平衡器，在零信任架構中仍然需要，只是部署方

式可能需要改變。

此外，像是 SIEM/SOAR 這類設備，將可幫助提供情資資訊，而特權

存取管理也能與 ZTA 整合，以提供更好的控制決策。在 ZTA 架構中

唯一可能會被淘汰的資安應用，他認為是 VPN。
市面上探討的 ZTA 部署方式可分為四種，查士朝特別用簡單的架構

圖，來呈現基於資源、限制區域、雲端與微分割的不同部署方式。
建議採階段式導入，從掌握現況、強化根

基再到深化安全

而在企業朝向 ZTA 邁進時，還要注意什麼？畢竟，從上述來看，與

其說 ZTA 是一個架構，更可以說是企業或組織的資安策略。關於 ZTA

導入建議步驟，在 NIST SP 800-207 第 7 章已有相關說明，查士朝

更建議，可採取階段導入方式來一步步完成，同時他更歸納出 3 大階

段 10 大步驟，讓企業能有更簡單的依循方式。

首先，企業一開始不要急著花錢，應該要能掌握現況，先知道自己有

哪些重要資源需要保護，並對既有的存取原則與安全控制作了解。簡

單來說，初期步驟就是要盤點所有企業資源與存取情境，掌握既有存

取控制規則，以及掌握既有安全控制措施。

接下來是慢慢強化，也就是將既有存取控制進一步強化，確認存取控

制是否正確，以及確認安全問題等。具體而言，這裡的步驟包括：強

化存取控制措施、強化記錄機制、強化強化災難復原機制與資安檢

查。
最後是更進一步深化安全，像是做到能夠依照收到 Log 紀錄與知道

的風險，去動態調整存取控制原則，他認為，這時候再去布置零信任

相關元件，或許是比較好的做法。因此，相關步驟包括：掌握風險資

訊提前因應、依存取情境變更存取權限、持續檢討與改善。

整體而言，在本場零信任架構的演講中，查士朝期望大家都能夠先釐

清對於 ZTA 常見的 3 大迷思，才能更妥善應用其概念，來改進企業

或組織的資安架構。包括要大家能理解，ZTA 還是會信任某些元件，

但重點更是要我們不只是純粹信任網路的邊界，並要認識 ZTA 不是

一個獨特的架構，而是在安全上要考量到某一些原則，以及知道 ZTA

並不是要我們汰換原有的所有邊緣安全機制。

同時，對於 ZTA 導入策略，查士朝列出 4 大關鍵作為提醒，包括：

盤點使用者與資源、妥善部署資源、檢視權限並落實存取控制，以及

掌握資源與使用者狀態。他並表示，如果企業想要以最快方式完成這

些動作，將重要資源集中是關鍵，並在前方設置相關次世代防火牆，

做到資源動態配置與加強存取控制，這些是最基本要做到的部分。此

外，企業也應懂得考慮本身的狀態，引入相關概念來逐步強化。
在 NIST SP 800-207 中已經列出了導入零信任架構步驟的建議，查

士朝將其架構譯成中文內容，讓現場會眾可以更好理解。

導入 ZTA 先別急著花錢，查士朝建議，可採取階段式導入概念，一

開始可以先掌握現況，盤點要保護的重要資源與既有存取原則與安全
控制，之後再循序強化，最終做到掌握風險資訊提前因應、依存取情

境變更存取權限，以及持續檢討與改善。