零信任架構重塑資安防線

企業面臨的資安痛點：為什麼傳統防線正在崩解？

近期安全通訊協定虛擬私人網路（SSL VPN）設備遭駭客透過設定檔暴力破解，導致帳密大量外洩的事件，再次敲響了企業內網安全的警鐘。企業目前主要面臨以下三大痛點：

• 駭客針對性攻擊加劇： 
  
  傳統虛擬私人網路（VPN）為駭客攻擊重點項目，一旦入口被攻破，內部系統將面臨極大風險。
   

• 端點設備成最大盲區： 
  
  無論是內部員工或外部供應鏈使用者，在遠端工作時，遠端設備資安狀況不可控，成為內網破口。
   

• 單一帳密難以驗證真實身分： 
  
  傳統登入機制無法確實確保使用者有效性、正當性、與權限，一旦帳密外洩，駭客即可輕易偽裝成合法使用者。
   

產品價值：Array ZTAG 如何打造新世代安全堡壘？
 

為了解決上述痛點，Array ZTAG遠端存取閘道器 能夠讓使用者安全登入存取內網。透過以下三大核心機制，全面升級企業防護：

• 無懈可擊的身分驗證機制 
  
  系統支持複合式認證與授權（MFA），並內建動態密碼（OTP） 與雙因子認證機制。為提升使用者體驗，更基於線上快速身分認證（FIDO）標準，發展整合的無密碼認證機制，確保能安全又方便的帳號登入流程。
   

• 極致嚴格的設備與帳號生命週期控管 
  
  系統內建用戶硬體辨識（HWID），強制規定屬於該人員擁有的設備才能進行連線登入。在帳號管理上，提供帳號有效期限設定，超時後會被永久鎖定；針對離職人員或閒置狀況，具備帳號空閒鎖定功能，禁止登入。此外，更能根據人員權責，限制同一帳戶同時進行登入連線數量（同時連線限制）。
   

• 網路隱身與持續性的動態評估 
  
  透過單封包授權（SPA）敲門機制，系統能達到網路隱身 的效果，讓非法攻擊人員無法掃描到服務埠口，有效阻擋非法存取。登入後，系統會限縮登入後該帳戶可存取的相關系統與服務（登錄後續權限）；同時，策略中心會持續對使用者行為、環境、設備進行風險評估，落實真正的動態資源授權。
   

資褓儲存（DataSitter）的建議：化被動修補為主動防禦

面對防不勝防的設備憑證外洩威脅，資褓儲存顧問團隊建議企業應揚棄「一次驗證、永久信任」的傳統觀念。單純更新防火牆韌體只是治標，真正治本之道在於思考如何登入安全上進行強化。

透過導入 Array ZTAG，企業能藉由多項機制檢核 以及完整記錄保存，大幅改善對內部員工與外部供應鏈的連線存取方式。這不僅能將災損風險降至最低，更能滴水不漏地保護企業內部資源。

常見問答（Q&A）

Q1：傳統虛擬私人網路（VPN）與零信任存取閘道器（ZTAG）最大的差異是什麼？ 

傳統 VPN 一旦連線成功，使用者往往能輕易看見並存取大量內網資源；而 ZTAG 則秉持「永不信任，持續驗證」的原則，不僅會驗證使用者身分與硬體設備，登入後也會嚴格限縮可存取的範圍，並持續評估連線風險，大幅降低駭客橫向移動的可能。
 

Q2：什麼是單封包授權（SPA）敲門機制？對企業有什麼好處？ 

單封包授權（Single Packet Authorization, SPA）是一種「網路隱身」技術。它會將系統的服務埠口隱藏起來，駭客在網路上完全掃描不到設備的存在。只有經過特殊認證的使用者發送正確的「敲門」封包後，系統才會短暫開啟通道讓其連線，從根本上杜絕了針對設備漏洞的掃描與暴力破解攻擊。

Q3：導入如此嚴格的認證機制，會不會造成員工登入上的不便？ 

不會的。Array ZTAG 支援線上快速身分認證（FIDO）標準的無密碼認證機制，並整合了如指紋、臉部辨識等便利的驗證方式，不僅兼顧了極高的安全性，也能確保使用者享有流暢、快速且方便的登入體驗。