Trace Id is missing
跳到主要內容
Microsoft 安全性

什麼是零信任架構?

零信任架構會透過驗證來保護組織的每項資源,而非只是保護公司網路的存取權。

深入了解零信任

零信任架構的運作方式為何?

若要了解零信任架構,請先試想一下傳統的安全性架構:人員在工作崗位上登入帳號後,便可以存取整個公司的網路。這種架構僅能保護組織的周邊環境,且與實體的辦公場所相關。這種模型不支援遠端工作,且會讓組織暴露在風險之下,因為當有心人士竊取密碼時,對方便能夠存取所有內容。

零信任架構不只會保護組織的周邊環境,還會透過驗證每個身分和裝置,來保護各項檔案、電子郵件和網路。(這就是為何它也被稱為「無界限安全措施」的原因)。零信任架構不只會保護單一網路,它還會協助保護遠端存取、個人裝置及第三方應用程式。

以下為零信任的原則:

  • 明確地驗證

    在驗證某人的存取權前會考量到所有資料點,包括他們的的身分識別、位置、裝置、資源的分類方式,以及是否有任何可能會是危險信號的反常狀況。

  • 使用最低權限存取權

    限制人員可以存取的資訊量和時間長度,而不是隨時讓人存取公司所有的資源。

  • 假設有缺口

    將網路區隔開來,當有人在未經授權的情況下進行存取,傷害便不會那麼大。要求使用端對端加密技術。

採用零信任安全性的優勢

實作零信任架構的企業能享有更高的安全性、遠端和混合式工作的支援、低風險,以及讓人員有更多時間投入較為重要的工作,而不是瑣碎的任務上。

  • 支援遠端和混合式工作

    協助人員在安全的情況下隨時隨地使用任何裝置工作。

  • 將風險最小化

    藉由預防攻擊事件發生、以更快速度發現威脅以及採取比傳統安全措施還迅速的動作來降低傷害。

  • 移轉至雲端

    平穩地從內部部署移轉至雲端,並降低過程中出現漏洞的機會。

  • 節省時間

    經由排除誤判警示、額外工作流程步驟及冗餘的安全性工具,讓安全性團隊全心投入事件回應工作 ,而不是密碼重設和維護作業。

  • 改善員工體驗

    採用單一登入 (SSO) 或生物特徵辨識技術 (而非多個密碼) 來簡化資源存取。支援攜帶您自己的裝置 (BYOD) 模型,給予更多的彈性自由空間。

零信任的功能和使用案例

  • 零信任架構的重要功能包括:

  • 端對端控管

    孤立的系統會招致風險。相反地,零信任會透過全面性的加密技術和強大的 身分識別管理來驗證存取組織整個數位資產的權限。

  • 可見度

    探索影子 IT 系統以及所有試圖存取您網路的裝置。確認使用者和裝置是否有遵循規範,若出現違規情況則加以限制存取權。

  • 分析

    自動分析資料並即時取得有關反常行為的警示,以便以更快速度偵測威脅並採取應對措施。

  • 自動化

    運用 AI 技術封鎖攻擊事件、降低假警報的出現機率,以及確立警示的優先處理順序。

  • 零信任的使用案例包括:

    • 支援混合式和遠端工作或多種雲端環境。
    • 應對網路釣魚、失竊認證或勒索軟體
    • 向臨時員工提供有時間限制的安全存取權限。
    • 保護並監控第三方應用程式的存取權。
    • 為使用各種裝置的前線工作者提供支援。
    • 遵循法規要求。

如何實作並使用零信任模型

以下會說明如何針對組織的身分識別、裝置、網路、應用程式、資料及基礎結構部署並使用零信任。

  • 1. 建立有效的身分識別驗證

    開始驗證組織所使用的每個應用程式、服務及資源的存取權 (先從最為敏感的項目著手)。提供管理員評估風險的相關工具,並在身分識別出現警告訊號 (例如過多登入嘗試失敗次數) 時即時採取應對措施。

  • 2. 管理裝置和網路的存取權

    確保所有端點 (無論是個人或公司的) 皆符合貴組織安全性要求的 合規性規範 。加密網路並確保所有連線 (包括遠端和現場) 皆安全無虞。將網路區隔開來,以對未經授權的存取進行限制。

  • 3. 提升應用程式的可見度

    「影子 IT」是員工所使用的未授權應用程式或系統,有可能會引來威脅。對人員安裝過的應用程式進行調查,以確保他們有遵守規範、設定存取權限並加以監視,以查看是否有出現任何警告訊號。

  • 4. 設定資料存取權限

    為組織的資料 (無論是文件或電子郵件等) 指派分類層級。加密敏感性資料並提供最低權限存取權。

  • 5. 監視基礎結構

    評估、更新及設定基礎結構的每個環節 (例如伺服器和虛擬機器),來對不必要的存取進行限制。追蹤衡量標準,以便輕鬆識別可疑行為。

零信任解決方案

零信任解決方案 非常多樣,從任何人都能使用的工具,到企業大規模的複雜做法都有提供。以下提供一些範例:


個人 可以開啟 多重要素驗證 (MFA) ,在取得應用程式或網站的存取權前獲得一次性的代碼。您也可以開始使用指紋或臉部等生物特徵辨識技術來進行登入。


學校 與 社群 可能會 採用無密碼,因為密碼很容易遺失。此外,他們也可以改善端點的安全性來支援遠端工作和學校,並將存取權區隔開來,以防裝置遺失或遭竊的情況發生。


組織 可以透過找出所有存取點並實作更為安全的存取原則來採用零信任架構。由於零信任屬於一種長期方法,因此組織應致力於持續監視的措施,以偵測新的威脅。

適用於企業的零信任角色

零信任是一種綜合安全性模型,並非單一產品或採取的措施。企業必須重新評估其整體安全性措施,以迎戰現今的各種難題和網路威脅。零信任能為安全性提供出路,實作零信任後,不僅可以讓組織獲得更安全的保障,還有助於組織在安全的情況下擴大規模,並為網路威脅的後續發展做好準備。

深入了解 Microsoft 安全性

零信任網路研討會

跟隨安全性專家一同探索最新的零信任策略、趨勢走向及最佳做法。

觀看網路研討會

取得零信任劇本

透過此全方位的劇本,建立動作項目以便組織採用零信任。

取得指南

檢查您的安全性態勢

參加測驗,評估您的零信任成熟度等級,並取得後續步驟的建議。

參加測驗

零信任先驅

業界分析師認為 Microsoft 是驗證和存取權管理領域的領導者。

閱讀分析師的說明內容

零信任聯邦命令

美國政府目前正要求聯邦機構採用零信任來抵禦網路威脅的侵襲。

閱讀行政命令

常見問題集

  • 零信任已被廣泛接受,且已有超過十年的時間受到網路安全性機構的認可。大型企業和產業領導者皆採用零信任,且採用狀況因有越來越多組織採行遠端和混合式工作模式而越加普及。

  • 零信任非常重要是因為,組織需要有對抗最新網路攻擊威脅防護,以及支援安全遠端工作的措施。在威脅數量急遽上升,且應對資料外洩的成本非常高昂的情況下,零信任近年來所扮演的角色已變得更加關鍵。

  • 零信任 網路安全性 的意義在於不因為身分識別已取得網路的存取權就信任對方。相反地,實作零信任網路存取代表您必須持續對每個試圖存取網路的裝置、應用程式及使用者進行驗證、為網路上的所有內容加密、將網路區隔開來以抑制任何攻擊事件發生、制定相關原則來限制網路存取,以及即時識別威脅的存在。

  •  零信任 的主要概念為持續驗證使用者和裝置 (而非僅驗證一次)、加密所有內容、提供所需最低存取權並限制存取時間,以及透過區隔作業來降低任何漏洞所造成的傷害。

  • 雲端零信任的意思是將零信任的準則和策略套用至組織的 雲端安全措施 ,進而保護雲端的資源並使其符合規範,同時讓組織能有更多的可見度。雲端零信任會針對所有儲存在雲端的內容進行加密、管理存取權、協助識別任何雲端基礎結構漏洞,以及加快補救的速度。

關注 Microsoft 安全性