詳細請參考以下文章
https://www.netadmin.com.tw/netadmin/zh-tw/technology/B4332BC2247649C4A562C62129BB09ED
三大管理原則
1.消除網路既有的可靠信任原則:在流量被認可之前,無論位置如何,所有流量都被視為威脅流量。
2.存取權限最小原則:採用最小權限策略並嚴格執行管理權限,以允許使用者僅存取執行其工作所需資源。
3.可視性及分析:透過持續調查和記錄所有流量來監控惡意活動,並提供即時保護,而不僅僅是外部流量,內部流量亦同。
四大支柱
五大架構
1.Zero Trust Networks(網路)
2.Zero Trust Devices(設備)
3.Zero Trust Users(使用者)
4.Zero Trust data(資料)
5.Zero Trust Workloads(工作流/負載)
零信任安全架構成熟模型
參考資料
來自外部的威脅 - XXE漏洞攻擊成因
https://www.digicentre.com.tw/industry_detail.php?id=38
What is the Billion Laughs XML DoS attack on the .NET Framework C# Xml Parser
https://ourcodeworld.com/articles/read/1007/what-is-the-billion-laughs-xml-dos-attack-on-the-net-framework-c-sharp-xml-parser
CVE-2019-11253
https://nvd.nist.gov/vuln/detail/CVE-2019-11253
Billion laughs attack
https://en.wikipedia.org/wiki/Billion_laughs_attack