Illumio傳道士John Kindervag以美國特勤局保護美國總統為例，解釋零信任的核心概念，那就是知道「誰是總統」、「總統在哪裡」以及「誰可以接近總統」。（攝影／黃彥棻）

深入分析特勤局的工作方式，可用來進一步說明零信任的內涵。

當我們看到特勤局人員執勤，有些人可能看起來只是站著，拉緊了外套，並未進行實際的保護工作，然而，這實際上是一種「安全劇場」（Security Theater）。

所謂安全劇場，是指那些看似保護措施的行為，實際上並沒有發揮任何實際保護作用，這類似於一些企業所採取的、僅具表面作用的安全策略。

相反的，真正的安全措施，是在更隱蔽且精確的位置進行的，這就是零信任中的「保護面」（Protect Surface），就是需要集中保護的關鍵資產範圍，這也是零信任的核心概念之一。

許多網路安全討論都集中在如何管理「攻擊面」（Attack Surface），但事實上，攻擊面不斷擴大，猶如無窮無盡的宇宙，幾乎無法完全控制。

因此，與其嘗試縮小攻擊面，不如將焦點轉向保護面，這一思路轉變，有助於企業集中力量保護最核心的資產，避免資源分散。

舉例來說，特勤局的保護對象並非每位民眾或整個城市，而僅限於總統及其家人，而這樣的保護策略，非常類似零信任的做法，重點在於精準保護，而不是試圖一網打盡，避免所有風險。

零信任運作強調動態權限與最小授權

特勤局的保護措施不僅靠近總統這個「保護面」，還建立緊密環繞在總統周圍的「微型邊界」（Micro-Perimeter），促使控制更為精確。

這意味著在零信任架構下，對於特定資產、資料或應用，要設置更精細化的安全邊界，以確保更嚴格的存取控制。

不過，在傳統的網路安全策略中，這種微型邊界周邊的控制措施通常放在外圍，例如：防火牆或端點裝置的安全工具，這些地方與真正要保護的資產相距太遠，從而產生「滯留時間」（Dwell Time），滯留時間是指：攻擊者成功入侵系統後，尚未被發現的時間。

長時間的滯留，會給攻擊者提供更多時間進行橫向移動，最終可能導致資料洩露。

而John Kindervag表示，零信任透過可視性和持續驗證，大大縮短了滯留時間，使得攻擊者無法長期隱匿於系統內。

在零信任模型中，可以隨時查看系統中發生的所有行為，針對所有存取請求，只有允許或拒絕兩種結果。

這種二進制的安全策略，意味著系統從最初，就不允許任何不受信任的行為進入，不是在事後試圖阻止潛在的威脅。

以美國特勤局的保護策略為例，只有經過特殊許可的特定探員可以接近總統，而保護總統的具體工具，如專車「野獸」，僅僅是交通工具，並不是保護的核心。他說，無論總統處於什麼環境，核心的保護策略始終不變。

同樣的，在零信任的框架下，則會通過動態的安全策略即時監控環境變化，不斷更新政策來應對潛在的威脅；特勤局也會即時更新威脅情報，通知相關人員進行應對，這類動態反應的策略與零信任所提倡的精準控制理念，不謀而合。

零信任的關鍵特徵是基於「需要知道」原則動態授予權限。在這個模式下，並不是試圖通過各種被動的安全措施阻止攻擊，而是從一開始就拒絕所有未經授權的請求，並只允許符合條件的存取。

舉例而言，當總統乘坐專車時，只有兩位特勤局探員可以接近他，這樣的精確控制符合零信任的「最小授權原則」，每位接觸資料或系統的使用者，都必須根據角色和任務，分配最小的存取權限，這樣可以最大程度降低內部風險。

而John Kindervag認為，這一動態授權過程的最大挑戰是：保持系統的精確可視性，只有清楚掌握每個存取請求的背景與目的時，才能根據具體需求來靈活調整授權策略，從而實現對內外部威脅的即時防護。

雖然許多人認為零信任是一個複雜的安全體系，但它的核心理念其實非常簡單。正如John Kindervag所說，這種安全模型只是基於「信任最小化」的基本原則進行設計，並不像傳統的安全技術那樣試圖解決所有問題。

通過將每個安全控制措施緊密圍繞在最需要保護的資產周圍，零信任大大降低了系統受到攻擊的風險。他表示，這不是一個技術上的複雜策略，而是應用簡單且嚴格的原則來防止潛在的威脅。

零信任架構的理念強調「永不信任，始終驗證」

隨著網路攻擊的頻率與複雜度不斷增長，零信任逐漸成為全球安全策略的核心框架之一，像是美國政府在其聯邦網路安全政策，便已經全面採用零信任作為防禦的主要模式，其他也有許多國際大企業和其他國家，開始將這一架構納入其安全防護計畫中。

隨著全球網路環境的不斷變化，零信任將在未來的安全框架中扮演愈加重要的角色，傳統的安全防護模式，已經無法應對日益複雜的網路威脅，這使得零信任架構成為當今網路安全的關鍵解決方案之一。

隨著各種資料外洩事件頻繁發生，John Kindervag表示，企業對於資料保護的需求變得越來越迫切，而零信任不僅適用於資料保護，還可以靈活應對實體基礎設施的安全需求。

在過去幾年中，也發生數起重大資料外洩事件，這些事件則揭露了傳統安全措施的缺陷，並強調零信任架構的重要性。

例如，某個大型企業的S3雲端資料庫，因為配置錯誤導致資料外洩，根據訴訟文件的顯示，這並非是單純的技術失誤，而是由於公司高層，故意放鬆了安全限制，以便能夠加快開發進度。

John Kindervag認為，這種錯誤的安全觀念就暴露出，企業過度依賴傳統安全措施的風險，他也強調了，零信任架構對於保護企業核心資料、資產的必要性。

正如美國特勤局保護總統的策略一般，零信任架構同樣關注「保護面」的安全。

這種方式，要求組織不僅僅是保護整個網路，而是專注於具體的資料、應用、資產或服務，確保這些核心資產得到最嚴格的保護。

他強調，零信任架構的理念強調「永不信任，始終驗證」，將每個進入網路的使用者或設備視為潛在威脅。

 相關報導  導入零信任架構的五步驟：從內向外的安全策略