零信任的指導原則

在NIST SP 800–207的零信任架構中說到:

零信任 (ZT) 是一組不斷發展的網路安全範式的術語，它將防禦從靜態的、基於網路的邊界轉移到專注於使用者、資產和資源。 零信任架構 (ZTA) 使用零信任原則來規劃產業和企業基礎設施和工作流程。 零信任假設沒有只用根據資產或使用者帳號的實體或網路位置（即區域網路與網際網路）或基於資產所有權（企業或個人擁有）授予資產或使用者帳戶內建信任(implicit trust)…零信任是對企業網路趨勢，包括遠端使用者、BYOD 以及不在企業擁有的網路邊界內的基於雲端的資產。 零信任著重於保護資源（資產、服務、工作流程、網路帳戶等）…

而驅動的因素有

• 零信任是一種簡單的資訊安全 (InfoSec) 方法，但經常被誤解且過於複雜
• 從歷史上看，資訊安全嚴重依賴技術控制，其安全模型基於收集資產並將其包圍在受控物理邊界內的能力
• 全生命週期：保護、偵測、恢復
• 傳統的安全模型是基於城堡和護城河策略 — — 不再是我們工作和生活方式的方式
• “永遠不要相信，永遠要驗證”
• 降低整體擁有成本 (TCO)、事故造成的損失，並加速恢復時間
• 與單一聲音和諧一致
• 與其他工作小組合作，特別是架構、成熟度、設備、數據

零信任可以做甚麼以及不做甚麼

• 別想太多
• 零信任是一種哲學/一種思考方式
• 零信任 不是一組產品
• 零信任不是一種架構
• 零信任是流程、人員和技術之間的協作
• 零信任是我們網路風險管理的一部分
• 許多標準起源於地端機房； 零信任是混合雲

零信任指導原則

1. 以終為始（業務/使命目標）
2. 不要過於複雜化
3. 產品不是優先考量的
4. 存取是一種有意的行為
5. 由內而外，而非由外而內
6. 違規事件時有發生
7. 了解我們的風險偏好
8. 確保來自高階管理層的定調
9. 灌輸零信任文化
10. 從小事做起，注重速效(Quick Wins)
11. 持續監控

指導原則的大分類

1. 適用於零信任的既定原則
2. 為了提供清晰度
3. 打破神話

許多原則不只屬於一個類別。

城堡與護城河

傳統的資安防禦觀念在於是有"邊界"的。也就是用城牆與護城河來保護城堡內的資產，而DMZ就是城門。

而企業經過COVID-19的洗禮，大規模的Work From Home。後COVID-19的時代變成如下圖的運作模式。

由內而外，而非由外而內

由內而外我們所看到的會有如下的項目需要注意。

• 資料(Data) —
  信用卡資訊 (PCI)、受保護的健康資訊 (PHI)、個人識別資訊 (PII) 和智慧財產權 (IP)
• 應用程式(Application) —
  自建的、套裝軟體、SaaS
• 資產(Assets) —
  設備、SCADA 控制、PoS、醫療設備、製造資產、物聯網設備
• 服務(Services) —
  DNS、DHCP 和身份驗證的真實來源

資料流

• 有助於識別我們的防護面(Protect Surface)
• 安全入口和出口點
• 資料流程圖的需求越來越大（例如 CMMC網路安全成熟度模型認證）
• 安全往返路徑
• 了解相互依賴性

處理主要問題

我們是否專注於正確的事情？我們的投資是否足夠？就是企業的資本配置。
業務影響評估 (BIA) 來推動優先事項。

有沒有跟以下的標準或框架是一致的(以美國境內的企業為例)：

• National Cybersecurity Strategy
• SEC Cyber Rule(s)
• NIST Cybersecurity Framework (CSF) 2.0
• EO 14028
• Digital Operational Resilience Act (DORA)
• New York State Department of Financial Services (NYDFS)