首圖圖說:封面_實踐資安零信任的工具箱

實踐資安零信任的工具箱

余俊賢–IT幫幫忙資安顧問

為什麼社創組織也需要「零信任」？常以為「我們又不是金融單位，應該沒人想駭我們吧？」

其實剛好相反——非營利與社創團體往往是攻擊者最愛的目標，因為團隊人少、沒資安人員、資料又含敏感個資（捐款、受助者名單、志工聯絡資料等）。

「零信任」（Zero Trust）不是懷疑一切的哲學，而是「先驗證，再信任」的安全原則，是資訊安全CP值最高的基本方法。傳統思維是「進了公司網路就安全」，但在今天，大家遠距工作、用雲端、手機、Wi-Fi、LINE、Google Drive 到處跑，邊界早就不存在。所以零信任的核心就是：「不論內外，沒驗證過的，不能信任。」

舉個例子：

你的社工或志工登入 Google 表單輸入個案資料，他不是惡意的，可是如果帳號被盜，就可能讓整份名單外洩。零信任就是幫你在每一步加一道保護門。

零信任的精神是：「不論是外部還是內部，沒驗證就不信任。」

圖說:架構、實作ＰＤＣＡ

左邊：3A    

• 驗證（Authentication）：確定你真的是你。
• 授權（Authorization）：你能做什麼、看什麼。
• 稽核（Audit）：紀錄誰、何時、從哪裡進來。

中間： ＰＤＣＡ

右邊：懶人包五步驟

• 啟用所有成員的兩步驟驗證
• 統一使用組織帳號登入雲端服務
• 建立一份共用的「權限對照表」
• 每月設定 5 分鐘安全檢查提醒
• 資安意識訓練，人是資安第一道也是最後一道防線

社創團隊的零信任三原則

可以用「3A」來記：

• 驗證（Authentication）：確定你真的是你。
• 授權（Authorization）：你能做什麼、看什麼。
• 稽核（Audit）：紀錄誰、何時、從哪裡進來。

照著做：社創組織的「零信任工具箱」

以下是你可以依樣畫葫蘆、一步步照做的工具清單

一、驗證層：先確認「你是誰」

1.開啟 Google Workspace 或 Microsoft 365 的兩步驟驗證（2FA）

每個人登入都要多輸入一次簡訊或App驗證碼。

成本：0 元。效果：防止帳號被盜。

2.使用密碼管理器（例如 Bitwarden、1Password）

不再用同一組密碼到處登入。

社創團隊可以共用帳號保管庫，方便管理。

二、授權層：控制「誰能看什麼」

1.雲端資料分層權限設定：Google Drive、Dropbox、Notion…都能設定「僅限團隊成員」、「檢視或編輯權限」。

小技巧：建立「共用資料夾結構表」，一目了然哪些資料該誰看。

2.用專用帳號登入服務

不要用私人 Gmail 處理工作事。

用組織帳號可以集中控管，成員離職時直接移除存取權限。

三、環境層：守住你的「工作環境」

1.開啟電腦與手機的自動鎖定功能

離開座位就上鎖，預設 5 分鐘無操作自動鎖。

2.用免費防毒＋自動更新系統

Windows Defender、macOS 內建防護就足夠； 千萬別關自動更新，因為那是修漏洞的命脈。

3.公共 Wi-Fi 要加 VPN（建議使用 ProtonVPN、Windscribe）

四、稽核層：留下「行為紀錄」

1.定期檢查 Google Workspace 安全報告：看誰登入、從哪裡登入，有異常就換密碼。

2.簡單的月度安全例行檢查表：每月底 5 分鐘檢查：

• 帳號有無新登入地點？
• 有沒有舊成員帳號未停用？
• 資料夾權限是否更新？

社創版「零信任快速實作」懶人包

• 啟用所有成員的兩步驟驗證
• 統一使用組織帳號登入雲端服務
• 建立一份共用的「權限對照表」
• 每月設定 5 分鐘安全檢查提醒
• 資安意識訓練，人是資安第一道也是最後一道防線

做到五步驟，你的團隊就比 90% 的中小組織安全。

優化加碼的工作包含以下幾個：統一登入（SSO） 所有雲端帳號統一入口，

裝置管理：管控誰的筆電能登入公司帳號

備份保護：重要資料至少兩地備份

「零信任」不是要你多懷疑夥伴，而是要讓信任建立在驗證之上。對社創團隊來說，這就像管理愛心捐款帳戶一樣：不是不信任大家，而是要讓每一筆資料、每一個登入都能被清楚記錄、確保安全。

 

補充

進階工具組合：

1.Wazuh — 免費又強大的「資安監控中心」

它是什麼？

Wazuh 是一個開源 SIEM（安全資訊與事件管理）平台，

可以幫你監控誰登入伺服器、檔案被修改、是否有惡意行為。

你能做什麼？

1.監控團隊的電腦、雲端主機（像 AWS、GCP、NAS）。

2.即時警報：有人異常登入、有人外部攻擊，就會發通知。

3.定期報告：哪些設備沒更新、哪個帳號有風險。

怎麼照著做？（依樣畫葫蘆步驟）

1.用 Docker 或 Wazuh Cloud 安裝 Wazuh（有一鍵部署版）。

2.安裝「Agent」在要監控的電腦或伺服器。

3.登入 Wazuh Dashboard，就能看到安全事件與報表。

2.OpenZiti — 讓你內網變「隱形」的零信任通道

它是什麼？

OpenZiti 是一個開源「零信任網路（ZTN）」平台，

可以讓你的內部應用（像管理後台、資料庫、NAS）變成外部看不到的隱形服務，

只有被授權的使用者與設備能連線。

你能做什麼？

不用公開伺服器 IP 也能遠端存取。

志工在外面也能安全連回內部系統。

取代傳統 VPN，更快、更安全。

怎麼照著做？

1.到 openziti.io

2.下載 Ziti Controller（可用 Docker 部署）。

3.安裝 Ziti Edge Tunnel 在使用者電腦上。

4.建立「policy（政策）」決定誰能連哪個服務。

5.完成後，沒有授權的人連 IP 都找不到。

適合誰？

1.有雲端後台、內部資料庫、或開放 API 的社創團體，

2.想保護敏感資料但又不想架貴森森防火牆的。

 

關於IT幫幫忙

社創組織面臨業務推動上，受限小微企業需較多人工業務處理，即使規劃導入數位服務仍受限於沒有ICT相關背景與能力，面對數位轉型工具箱或雲市集軟體服務採購等資源，也可能不清楚工作流程適合應用那些資訊系統。歡迎加入「社會創新平台-IT幫幫忙」官方帳號，透過IT需求的諮詢銜接與建議，協助大家提供從軟硬體到網路資安的建議，充分運用數位科技加速擴大社會影響力。