零信任：數位時代的保護基礎

簡介：目前數位環境中的整合式安全性

以人工智慧為基礎的現代工具為業務最佳化和資訊生成提供了前所未有的能力。然而，這些進步帶來了基本的安全考量，尤其是當公司將敏感資料交託給雲端 SaaS 供應商時。安全性不能再被視為單純的附加元件，而是必須整合到現代科技平台的每一層。

‍

零信任模式代表現代網路安全的基礎。與依賴於保護特定周界的傳統方法不同，零信任模式考慮到身分、驗證和其他情境指標，例如裝置的狀態和完整性，以大幅改善安全性。

‍

什麼是零信任？

零信任 (Zero Trust) 是一種安全模式，其核心思想是不應僅依據網路位置來授予資料存取權。它要求使用者和系統強力證明其身分和可信度，並在授予應用程式、資料和其他系統存取權之前，應用基於身分的細粒度授權規則。

‍

有了 Zero Trust，這些身分通常會在彈性的身分感知網路中運作，進一步減少攻擊面、消除不必要的資料路徑，並提供強大的外部安全防護。

‍

傳統的「城堡與護城河」比喻已經消失，取而代之的是軟體定義的微區隔，讓使用者、應用程式和裝置可以從任何地點安全地連線到任何其他地點。

‍

實施零信任的三項指導原則

基於 AWS Playbook 'Gain Confidence in Your Security with Zero Trust"

‍

1.同時使用身份和網路技能

更好的安全性並非來自於以身分或網路為中心的工具之間的二元選擇，而是來自於兩者的有效結合使用。以身分為中心的控制可提供細緻的授權，而以網路為中心的工具則可提供極佳的防護，讓以身分為基礎的控制可在其中運作。

這兩種類型的控制應該互相了解，並互相加強。例如，可以將允許以身分為中心的規則撰寫與執行的政策連結至邏輯網路邊界。

2.從使用個案逆向進行

依據不同的使用情況，零信任可能有不同的含義。考慮到各種情況，例如：

• 機器對機器：組件間特定流量的授權，以消除不必要的橫向網路移動。
• Human-application (人性化應用)：讓員工能夠無阻撓地存取內部應用程式。
• 軟體-軟體：當兩個元件不需要溝通時，即使它們位於相同的網段中，也不應該進行溝通。
• 數位轉型：在新的雲端應用程式中建立細心分割的微服務架構。

3.請記住 「一刀切 」的原則

零信任概念必須依據要保護的系統和資料的安全政策來應用。零信任並非「一刀切」的方式，而是不斷演進的。重要的是，不要將統一的控制套用於整個組織，因為僵化的方法可能無法讓組織成長。

如遊戲手冊所述：

‍

"從堅持最低特權開始，然後嚴格應用零信任原則，可以顯著提高安全標準，特別是對於關鍵工作負載。將零信任概念視為現有安全控制和概念的補充，而非取代。

這強調了零信任概念應被視為現有安全控制的補充，而非取代。

‍

‍

AI 特殊的安全考量

人工智慧系統帶來了超越傳統應用程式安全問題的獨特安全挑戰：

模型保護

• 資料安全訓練：聯盟學習功能可在不集中敏感資料的情況下，改善模型，讓組織在維護資料主權的同時，利用集體智慧的優勢。
• 模型反轉防護：實施演算法防護模型反轉攻擊非常重要，這種攻擊會試圖從模型中提取訓練資料。
• 模型完整性驗證： 持續的驗證程序可確保生產模型未被篡改或中毒。

防範 AI 特有的弱點

• 防禦即時注入攻擊：系統應包含多層次的防禦即時注入攻擊，包括濾除輸入內容和監控嘗試篡改模型的行為。
• 輸出過濾：自動化系統應在傳送前分析所有人工智能產生的內容，以避免潛在的資料洩漏或不當內容。
• 偵測敵人範例：即時監控必須識別出旨在竄改模型結果的潛在敵人輸入。

合規與治理

完整的安全性不只是技術控制，還包括治理與法規遵循：

統一法律架構

現代平台的設計應有助於遵守主要的法規框架，包括

• GDPR 和區域隱私權法規
• 特定產業的要求 (HIPAA、GLBA、CCPA)
• 第二類 SOC 2 控制
• ISO 27001 和 ISO 27701 標準

安全保證

• 定期獨立評估：系統應定期接受獨立安全公司的滲透測試。
• Bug Bounty 計劃：公開漏洞揭露計劃可以吸引全球安全研究社群的參與。
• 持續的安全監控：全天候的安全作業中心應該監控潛在的威脅。

性能毫不妥協

一個常見的誤解是，強大的安全性必然會降低效能或使用者體驗。精心設計的架構證明安全性與效能可以相輔相成，而非互相矛盾：

• 安全的記憶體加速：AI 處理可利用記憶體保護區內的專門硬體加速。
• 最佳化的加密實作：硬體加速加密可確保資料保護操作的延遲時間降至最低。
• 安全快取架構：智慧型快取機制可提高效能，同時維持嚴格的安全控制。

結論：安全作為競爭優勢

在人工智慧 SaaS 的環境中，強大的安全性不僅僅是降低風險，也逐漸成為與眾不同的競爭優勢，讓組織能夠更快速、更有信心地前進。將安全性整合至平台的各個層面，可創造出創新蓬勃發展而不影響安全性的環境。

‍

未來屬於能夠利用 AI 的轉型潛力，同時管理其固有風險的組織。零信任方法可確保您有信心打造這樣的未來。