22
任模型中，沒有未被發現的任 何漏洞;在安全方案中的組合 元件也共同運作良好，不會呈 現不協調情況。 以下則是零信任策略面臨的一
•
者需求量身訂做、規劃和監控 每個應用程式。 更嚴格的資料安全性──資 料通常會被儲存在不只一個 地方，這意味著往往需要保護 多個站點;這表示需要依據最 高安全標準，來設定和執行資 料安全性原則。 幸運的是，新技術仍在演進，
(Security as a Service)功能結合於 一個集中化的服務。企業組織可以 使用SASE將所有安全和網路工具 集中到單一的管理平台上。
些 挑 戰:
• 在設置上更耗時費力──打
• •
•
SASE的主要優勢包括: 將網路與安全工具集中; 提供獨立於使用者和資源位 置的存取; 提供具成本效益、可擴展，可 有效處理安全與網管的遠端 存取解決方案。
造零信任模型時，需要在現有 網路中重新部署策略。這個過 程可能具有挑戰性，因為網路 在轉向零信任架構的同時還 要保持正常運作，有時甚至不 如架設一個新網路那麼簡單。 如果舊系統與零信任框架不相 容，還得從頭建構一個網路。
有助於因應許多挑戰。在早期，零 信任方案得從零開始建構，而如今 零信任遠遠不只是一款產品，已經 有成熟的專屬解決方案，可以幫助 設置零信任堆疊的絕大部份。接 著來看最重要的零信任技術。
擴展偵測與回應
• 使用者管理更複雜──零信 任方法需要更嚴密監控使用 者，只在有需要的時候才授予 他們存取資料的權限。這些使 用者包括員工、消費者、客戶、 第三方供應商等，這意味著會 有各種各樣的接取點。使用零 信任架構，必須針對每使用者 群組訂定不同的策略。
微分段
Extended Detection and Response (XDR)工具提供以SaaS 為基礎的事件回應和威脅偵測功 能，將數個安全產品整合到一個集 中化的安全作業系統。市面上有以 供應商為中心的XDR工具，可在一 個授權下提供多個整合元件;開放 性XDR工具則專注於資料儲存與分 析，能 與 現 有 安 全 工 具 整 合。
• 需要管理的裝置更多──不 僅需要監控使用者，還必須監 控他們的裝置;每個裝置可能 具有特定的屬性和通訊協定， 必須根據其類型對其進行保 護和監控。
微分段旨在限制從一個分段到 另一分段的流量，這種方式可限制 攻擊行為在整個網路的橫向移動， 從而將攻擊面縮減至最小。網路微 分段也可以應用於資料中心以及雲 端環境。在零信任環境中，所有其他 零組件都整合了微分段能力，或是 本身可以提供，以圍繞著每個寶貴 資產打造安全的微型邊界。
• 複雜的應用程式管理──現今 的企業使用數百個應用程式， 可能是以雲端為基礎的，使用 者可以跨多平台和裝置存取， 有時企業還會與協力廠商共 用。為了與零信任方法保持一 致，必須根據安全要求和使用
安全存取服務邊緣
MITRE的ATT&CK框架
www.eettaiwan.com | 2022年5月 
微分段(microsegmentation) 是零信任的基礎技術，能將網路拆 分為具邏輯性的安全單元。該技術 允許定義和執行策略，以控制網路 每個分段區域內的資料和應用程式 的存取和使用。
• • • •
XDR的主要優勢如下: 將事件偵測和回應功能集中 化; 提供整個技術環境中威脅的整 體性與簡化觀點; 提供可改善事件補救速度和效 率的即時威脅洞察; 利用人工智慧(AI)偵測跨越安 全孤島和邊界的規避性威脅。
SASE (Secure Access Service Edge)是一種雲端架構模型，將廣 域網路(WAN)功能性與安全即服務
MITRE是一個非營利組織，提 供有關網路威脅的資訊，助力解決 網路防禦問題;此外該組織提供 對抗性戰術、技術和共用知識庫
INDUSTRY TRENDS