傳統安全架構中，人員在工作崗位上登入帳號後，便可以存取整個公司的網路。一旦遭有心人士竊取密碼時，就能夠存取所有內容。

零信任是一種安全概念，核心原則是「永不信任，總是驗證（Never trust, always verify）」。單一的零信任技術並不存在，有效的零信任策略結合運用多種既有的技術及方法，例如多重要素身份驗證（MFA）、身份與存取管理（IAM）、特權存取管理（PAM）及網路分區隔離，以實現全面的縱深防禦。此外，零信任也倚重最小特權原則等治理政策。

零信任架構建立在「攻擊可能來自任何地方，因此每次請求都不應信任用戶和裝置」的思維上，例如每次連接到系統的請求都必須加密，並經過身份驗證、授權，確保只有合法用戶才能訪問敏感資料和數據，同時也必須留下 log 紀錄。就像手機除了輸入開機密碼，也可進一步對通訊軟體、相簿等敏感資料設定第二層密碼保護，此用意即為預設 App 使用者非手機主人，即便手機在解鎖狀態下，也無法閱讀私人訊息或偷取私人照片。能防堵資安傷害擴大，如同即便小偷成功闖進大門，但你的皮夾、存摺、提款卡、證件全數保存在各自不同的保險箱，即便大門被闖入，但竊賊沒有每個保險箱的密碼，依然偷不走重要的資料，可將傷害降至最低。

金管會於113年7月發布「金融業導入零信任架構參考指引」，針對零信任架構提出實作方向如下，並要求保險業應於本(113)年度完成零信任網路導入計劃，提報董事會通過。

參考資料：

金融業導入零信任架構參考指引

https://blog.tpisoftware.com/smartm/zta/

https://www.microsoft.com/zh-tw/security/business/security-101/what-is-zero-trust-architecture

https://www.cyberark.com/zh-hant/what-is/zero-trust/

Microsoft AI image generator