零信任全面解析：为什麽「城堡与护城河」资安模型已经过时

在过去数十年，企业资安的核心理念一直相当简单：只要把骇客挡在企业网络之外，网络内的一切就可以被信任。
防火牆、VPN 以及各种边界防禦机制，构成了所谓的「城堡与护城河（Castle and Moat）」资安模型。

然而，随着攻击手法演进、云端与 SaaS 普及，以及远端办公成为常态，这个假设早已不再成立。
现代攻击者不再「强攻城门」，而是透过被盗帐号、钓鱼攻击、供应链漏洞，直接合法地登入系统。

这也让企业逐渐意识到一件事：
传统的城堡与护城河资安模型，已经无法应付现代威胁。

取而代之的，是近年被视为资安新标准的架构 —— 零信任（Zero Trust）。

本文将深入说明什麽是零信任、为何旧有模型已经失效，以及企业该如何实际落地零信任策略。

什麽是「城堡与护城河」资安模型？

「城堡与护城河」是一种以网络边界为核心的防禦思维。
企业内部网络就像城堡，防火牆与边界设备则是护城河。

只要使用者或设备成功通过边界验证，例如连接 VPN，便会被视为「可信任对象」，并获得相对广泛的内部存取权限。
内部网络流量通常不会被严格监控，横向移动（Lateral Movement）也较少受到限制。

在所有系统都集中于内部机房、员工固定于办公室工作的年代，这样的模型确实有效。

但前提是：
内部人员是可信的，威胁只来自外部。

而这个前提，现在已经不存在。

为什麽「城堡与护城河」模型已经失效？

现代企业的 IT 架构，早已不再是一座单一城堡，而是一个分散在云端、SaaS、远端设备与第三方服务之间的生态系统。

城堡与护城河模型最大的问题，并不是防火牆不够强，而是 一旦进入内部，就被默认信任。

只要攻击者成功取得一组帐号，便能在内部网络中自由移动，存取更多系统、提升权限，最终造成大规模资料外洩或勒索攻击。

以下几个趋势，加速了这个模型的崩坏。

首先，远端办公彻底模糊了网络边界。
员工透过各种网络环境连线企业系统，而 VPN 往往提供过度宽松的存取权限。

其次，云端与 SaaS 让关键资产不再位于企业内网。
身份（Identity）逐渐取代网络位置，成为真正的安全边界。

第三，现代攻击更偏向「帐号入侵」，而非系统漏洞。
钓鱼攻击、凭证滥用、Session 劫持，使攻击者能以合法身份行动。

最后，供应链与第三方风险，让「外部」与「内部」的界线变得更加模糊。

结论很清楚：
「在内部就代表安全」这个概念，已经完全站不住脚。

什麽是零信任（Zero Trust）？

零信任不是单一产品，而是一种资安架构与设计哲学。
它的核心原则只有一句话：

永不信任，持续验证（Never Trust, Always Verify）

在零信任架构下，不论请求来自内部或外部，所有使用者、设备、应用程式与连线，都必须被持续验证与授权。

零信任假设入侵一定会发生，因此重点不再只是「防止入侵」，而是：

降低攻击影响范围
限制横向移动
尽早侦测异常行为

这正是零信任与传统模型最大的差异。

零信任的核心原则

虽然各家实作方式不同，但零信任架构通常建立在以下几个关键概念之上。

首先，身份成为新的安全边界。
透过多因素验证（MFA）、条件式存取与风险评分，确保每一次存取都是真实且合理的。

其次，最小权限原则（Least Privilege）。
使用者只在需要时，获得必要的最低权限，避免长期或过度授权。

第三，持续验证，而非一次登入就永久信任。
系统会根据装置状态、地点、行为模式与威胁情报，动态调整存取权限。

第四，微分段（Microsegmentation）。
即使系统被入侵，攻击者也无法轻易横向扩散。

最后，可视性与监控是零信任的基石。
完整的日誌、行为分析与即时回应，才能真正落实防禦。

零信任 vs 传统模型：不只是技术，而是思维转变

传统模型关心的是：
「你是不是在内部网络？」

零信任关心的是：
「在这个时间点，你是否应该被允许存取？」

在零信任架构中，VPN 不再代表全面信任，而是被应用层级的精细授权所取代。
内部流量也不再被视为安全，而是同样受到监控与限制。

最重要的是，零信任接受一个现实：
帐号一定会被入侵，因此设计必须假设最坏情况。

零信任如何应对现代攻击手法？

现代攻击讲求隐匿、持久与身份滥用，而零信任正是针对这些威胁而设计。

即使帐号密码被盗，强制 MFA 与装置信任机制，仍能有效阻挡非法存取。
微分段与最小权限，让横向移动变得困难。
行为监控与即时分析，则能快速侦测异常活动。

在云端与 SaaS 环境中，零信任将安全控制从网络转移到身份与应用层，更贴近实际风险。

零信任落地：循序渐进才是关键

零信任并不需要一次到位。
大多数成功案例，都是循序推进。

企业通常会先从身份安全着手，例如强制 MFA、帐号治理与权限盘点。
接着强化端点安全与装置信任。
再逐步收紧应用层级的存取控制。
最后导入微分段、监控与自动化回应。

在整个过程中，资安评估、渗透测试与架构检视，能有效找出落差并验证防护效果。

零信任不是「零存取」

零信任并不是让系统变得难用。
相反地，透过风险导向与自动化验证，合法使用者往往能更快速、安全地完成工作。

零信任的目标不是阻碍业务，而是建立聪明的信任，而非盲目的信任。

零信任与合规、风险管理的关係

越来越多法规与标准，实际上已内建零信任精神。
最小权限、存取纪录、持续监控，都是合规要求的核心。

零信任不只是技术升级，更是一套能同时满足安全与治理需求的风险管理框架。

总结：城堡已倒，零信任才是未来

城堡与护城河模型属于过去的时代。
在云端、远端与身份攻击成为主流的今天，它已无法提供足够防护。

零信任正视现实，并以持续验证、最小权限与全面可视性，建立真正符合现代企业需求的资安架构。

对于重视风险控管与长期安全的企业而言，
零信任已不再是选项，而是必要。

强化企业安全 🛡️ 立即行动

UD 是值得信赖的託管安全服务供应商（MSSP）
拥有 20+ 年经验，已为超过 50,000 家企业提供解决方案
涵盖渗透测试、漏洞扫描、SRAA 等全方位网络安全服务，全面保护现代企业。