傳統網路：零信任之前有什麼

20 世紀的層級網路從外向內設計，傳統上依賴將使用者分類為「信任」與「不信任」。不幸的是，這種方法已證明是不安全的。隨著攻擊的複雜性和內幕人士威脅的增加，假設組織網路內的一切都可信賴的作法已不再可行。

進入 Zero Trust。基於「絕不信任，永遠驗證」的原則，零信任網路提供了不同的安全性方法。Zero Trust 可利用微區隔和最關鍵資料周圍的細粒度強制範圍，對抗敏感資料的外洩，並防止威脅在網路中橫向移動。

不幸的是，傳統安全模式的設計範例讓公司不願採用零信任，因為它被認為是困難、昂貴且具破壞性的。事實上，它的部署比傳統的同類產品簡單得多。為了改變我們對安全設計的想法，並消除一些關於部署「零信任」的成見，我們必須瞭解「零信任」提出之前的安全問題。

我們從最外圍的 CPE（客戶內部部署設備）開始網路設計，電信業者在此將網路電路交給我們的資料中心。之後，我們就知道需要將什麼卡插入路由器了。當時，我們需要與多種類型的網路互連。路由器安裝完成後，我們便專注於建立基礎架構。我們安裝了核心交換器、分配交換器和大量的存取層交換器。我們配置所有這些交換器，不斷擔心生成樹等問題，直到我們擁有一個正常運作的網路。至此，我們的工作完成了，網路使用者被邀請到任何他們想去的地方連線到網路。

最後，蠕蟲和病毒等威脅出現，網路安全性顯然是必要的。基於需要，我們安裝了第 3 層狀態封包過濾防火牆，以提供基本的入口過濾功能，同時注意不要設定得太仔細，以免阻擋「好」的流量。最主要的顧慮是過多的安全性會降低網路效能，而網路效能被視為比安全性更重要的優先項目。時至今日，組織仍在努力尋找效率與安全性之間的平衡。

此傳統模式假設使用者的身分未遭洩露，且所有使用者都以負責任的方式行事。如果使用者是「可信賴」的，則該使用者預設可存取應用程式和資料。歷史已經告訴我們，信任是可以被利用的弱點。

零信任」顛覆了這個傳統模式。網路的設計是由內而外，而不是由外而內，從需要保護的資料或資產開始，並圍繞這些元素進行設計。Zero Trust 從網路中消除信任模式，並針對資料外洩和不良網路事件提供進階、細粒化的防護。要正確設計零信任網路，設計師和建築師必須學會從內幕人士的角度思考。