本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 零信任架構的關鍵元件
<a name="components"></a>

若要有效地實作零信任架構 (ZTA) 策略，您的組織必須了解組成 ZTA 的關鍵元件。這些元件會共同運作，以便在符合零信任原則的全方位安全模型上持續改進。本節會說明 ZTA 的關鍵元件。

## 身分識別和存取管理
<a name="iam"></a>

身分識別和存取管理提供堅實的使用者身分驗證和簡化的存取控制機制，構成 ZTA 的基礎。其中包括單一登入 (SSO)、多重要素驗證 (MFA) 以及身分治理和管理解決方案等技術。身分識別和存取管理會提供高等級的身分驗證保證和重要的背景資訊，這些項目是做出零信任授權決策時不可或缺的部分。同時，ZTA 是一種安全模型，會根據每位使用者、每部裝置和每個工作階段，授予應用程式和資源的存取權限。這有助於保護組織免受未經授權的存取，即便使用者的憑證洩漏亦然。

## 安全存取服務邊緣
<a name="sase"></a>

安全存取服務邊緣 (SASE) 是新的網路安全方法，可將網路和安全功能虛擬化、互相結合並分派到以雲端為基礎的單一服務中。無論使用者身在何處，SASE 都能提供安全的應用程式和資源存取。

SASE 包括多種安全功能，例如安全網頁閘道、防火牆即服務，以及零信任網路存取 (ZTNA)。這些功能共同運作以保護組織免受各種威脅的侵害，其中包括惡意軟體、網路釣魚和勒索軟體。

## 資料外洩防護
<a name="dlp"></a>

資料外洩防護 (DLP) 技術可協助組織保護敏感資料，防止未經授權的披露。DLP 解決方案會監控和控制動態及靜態資料。這有助於組織定義政策並強制執行、預防資料相關的安全事件，以及確保敏感資訊在整個網路中都受到保護。

## 安全資訊和事件管理
<a name="siem"></a>

安全資訊和事件管理 (SIEM) 解決方案會收集、彙總和分析來自組織基礎設施中各種來源的安全事件日誌。您可以使用此類資料偵測安全事件、促進事件回應，以及深入了解潛在威脅和漏洞。

對於 ZTA 而言，SIEM 解決方案能夠針對來自不同安全系統的相關遙測找出關聯並加以了解，對於改善偵測和回應異常模式的機制至關重要。

## 企業資源擁有權目錄
<a name="enterprise-resource-ownership-catalog"></a>

若要正確授予企業資源的存取權限，組織必須具備可靠的系統來分類這些資源，以及更重要的是，擁有這些資源的對象。這項事實來源必須提供工作流程，協助進行存取請求、相關核准決策以及其中的定期認證。隨著時間過去，這項事實來源就會包含「誰能存取哪些項目？」的答案，適用於組織內部。您可以將這些答案用於授權、稽核以及合規性。

## 統一端點管理
<a name="unified-endpoint-management"></a>

ZTA 除了對使用者進行高強度的身分驗證外，還必須考慮使用者裝置的健康狀態、安全狀態和情況，以便評估公司資料和資源存取是否安全。統一端點管理 (UEM) 平台提供下列功能：
+ 裝置佈建
+ 持續的組態和修補程式管理
+ 安全性基準
+ 遙測報告
+ 裝置清潔和淘汰

## 以政策為基礎的強制執行點
<a name="policy-based-enforcement-points"></a>

在 ZTA 中，各項資源的存取權限應由以閘控政策為基礎的強制執行點明確授權。一開始，這類強制執行點可基於現有網路和身份系統中的現有強制執行點決定。只要將 ZTA 所提供更廣泛的背景資訊和訊號納入考量，便能讓強制執行點的功能逐漸增強。長期來看，您的組織應實作 ZTA 特定的強制執行點，以便在融合脈絡下運作、持續整合訊號提供者、維護全方位的政策集，以及透過結合遙測所收集的情報進行強化。

## 章節摘要
<a name="components-summary"></a>

了解這些關鍵元件對於計劃採用 ZTA 的組織至關重要。透過實作這些元件並將它們整合到同一個緊密結合的安全模型中，您的組織便能根據零信任的原則建立強大的安全狀態。下列各節會探索組織準備程度、分階段採用方法以及最佳實務，協助您在組織內成功實作 ZTA。