本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解零信任原則
<a name="zero-trust-principles"></a>

零信任架構 (ZTA) 奠基於構成其安全模型基礎的一系列核心原則。如果組織希望有效採用 ZTA 策略，就務必了解這些原則。本節會說明 ZTA 的核心原則。

## 驗證和身分驗證
<a name="verify-authenticate"></a>

驗證和身分驗證原則強調對所有類型的主體（包括使用者、機器和裝置）進行高強度識別和身份驗證的重要性。ZTA 要求在整個工作階段持續驗證身份和身份驗證狀態；理想狀態下，最好能針對每次請求執行。它不僅依賴傳統的網路位置或控制項運作。這包括實作現代高強度多重要素驗證 (MFA)，以及在身分驗證程序期間，評估額外的環境和背景資訊訊號。組織可採用此原則，協助確保以最完善的身份輸入資訊做出資源授權決策。

## 最低權限存取
<a name="least-privilege-access"></a>

最低權限的原則包含授予主體執行任務所需的最低存取層級。組織可採用最低權限存取原則，強制執行精細的存取控制，讓主體只能存取履行其角色和責任的必要資源。其中包括實作即時存取佈建、角色型存取控制項 (RBAC) 以及定期審查存取權限，以大幅減少受攻擊面積和未經授權存取的風險。

## 微分段
<a name="micro-segmentation"></a>

微分段是一種網路安全策略，會將網路分割成較小的隔離區段，以授權特定的流量流程。您可以建立工作負載界限，並在不同區段之間強制執行嚴格的存取控制，以達成微分段。

微分段可以透過網路虛擬化、軟體定義聯網 (SDN)、主機型防火牆、網路存取控制清單 (NACLs) 以及 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組或 等 AWS 特定功能來實作 AWS PrivateLink。分段閘道會控制區段之間的流量，以明確授予存取權限。微分段和分段閘道有助於組織限制網路中不必要的路徑，尤其是導向關鍵系統和資料的路徑。

## 持續監控和分析
<a name="continuous-monitoring-analytics"></a>

持續監控和分析包含在組織環境中收集和分析與安全性相關的事件和資料，並且尋找關聯。您的組織能透過實作堅實的監視和分析工具，以融合的方式評估安全資料和遙測。

此原則強調掌握使用者行為、網路流量和系統活動的重要性，以辨識別異常和潛在的安全事件。安全資訊與事件管理 (SIEM)、使用者和實體行為分析 (UEBA)，以及威脅情報平台等進階技術，在達成持續監控和主動偵測威脅方面扮演要角。

## 自動化和協同運作
<a name="automation-orchestration"></a>

自動化和協同運作可協助組織簡化安全程序、減少人工干預，以及加強回應時間。透過自動執行例行的安全工作並使用協同運作功能，您的組織便能強制執行一致的安全政策，以及迅速回應安全事件。此原則也包括自動化存取佈建和取消佈建程序，以協助確保及時且準確地管理使用者權限。透過採用自動化和協同運作，您的組織便能提高營運效率、減少人為錯誤，同時將資源集中在更具策略性的安全措施上。

## Authorization
<a name="authorization"></a>

在 ZTA 中，每項存取資源的請求都應由閘控強制執行點明確授權。除了驗證身分外，授權政策還必須考慮其他背景資訊，例如裝置健康狀態和安全狀態、行為模式、資源分類和網路因素。授權程序應根據與所存取資源相關的對應存取政策，來評估這項融合式背景資訊。最理想的情況下，機器學習模型可以為宣告式的政策提供動態補充。使用此類模型時，這些模型應僅聚焦於其他限制，且不應授予未明確指定的存取權限。

## 章節摘要
<a name="core-principles-summary"></a>

透過遵守 ZTA 的這些核心原則，組織便能建立符合現代企業環境多樣性的堅實安全模型。若要實作這些原則，必須採用結合技術、程序和人員的全方位方法，才能達成零信任思維，並建立具備恢復能力的安全狀態。