27. 在零信任架構(Zero Trust Architecture, ZTA)實作參考原則中， 下列何者描述與應用程式的存取授權最直接相關？
(A) 以作業屬性及風險區隔角色，並依角色風險等級定義 授權條件(如身分及設備鑑別之等級)，採最小授權原 則定義授權範圍；並針對特權作業採獨立角色授權 (不混用於非特權作業)，減少特權帳號之濫用及風險
(B) 對網路連線紀錄具有即時偵測及回應機制(如 NDR)，可因應業務需求、偵測到入侵指標(IOC)或 遭受攻擊時，動態調整網路設定(如調整網路防護邊 界即時隔離、切換備援路由或資源配置等)或即時告警，以維持網路服務，將對業務影響最小化
(C) 具網段隔離機制，採最小需求原則限制存取資源之網路連線，並得限制同網段主機間連線及資源存取，防止攻擊者利用遭入侵的主機作為跳板機進行橫向擴散
(D) 具有效盤點且可唯一識別(如 TPM 等)納管設備機 制，並對其安全要求(如病毒碼、作業系統狀態等) 之判斷及應處機制；對未納管設備具有即時偵測及風 險控管(如強制隔離)機制

這題的正確答案是 (A)。

這道題目主要是在測驗您對於 零信任架構 (Zero Trust Architecture, ZTA) 中不同層面的實作原則是否清楚。題目問的是與 「應用程式的存取授權 (Application Access Authorization)」 最直接相關的描述。

以下為您詳細解析各選項對應的資安領域與原則：

正確選項解析

• Option (A) 以作業屬性及風險區隔角色...採最小授權原則定義授權範圍... ✅

  • 核心概念： 身分與存取管理 (IAM) / 應用程式層級授權

  • 解析： 這個選項明確提到了「角色 (Role)」、「授權條件 (Authorization Conditions)」、「最小授權原則 (Least Privilege)」以及「特權作業 (Privileged Operations)」。

    • 這正是應用程式在決定「誰 (Who) 可以做什麼 (What)」的過程。

    • 零信任強調動態授權，這段描述符合 RBAC (基於角色的存取控制) 與 ABAC (基於屬性的存取控制) 的精神，確保使用者只能存取其業務所需的最小範圍功能，這就是「應用程式存取授權」的核心定義。

錯誤選項解析

• Option (B) 對網路連線紀錄具有即時偵測及回應機制(如 NDR)...

  • 核心概念： 網路偵測與回應 (Network Detection and Response, NDR)

  • 解析： 這個選項關注的是「監控 (Monitoring)」與「回應 (Response)」。它是為了在駭客入侵時能即時發現異常流量 (IOC) 並進行隔離，屬於 安全營運 (SecOps) 與 可視性 (Visibility) 的範疇，而非定義應用程式如何授權。

• Option (C) 具網段隔離機制，採最小需求原則限制存取資源之網路連線...

  • 核心概念： 網路微區隔 (Micro-segmentation)

  • 解析： 雖然這裡也提到了「最小需求」，但它針對的是 「網路層 (Network Layer)」 的連線能力（例如：IP 對 IP 的防火牆規則）。

  • 它的目的是防止駭客把受駭主機當作跳板進行「橫向擴散 (Lateral Movement)」。這是基礎建設層面的防護，是應用程式存取的前提，但不是應用程式內部的授權邏輯。

• Option (D) 具有效盤點且可唯一識別(如 TPM 等)納管設備機制...

  • 核心概念： 設備鑑別與健康管理 (Device Trust / Device Posture)

  • 解析： 這個選項聚焦於 「設備 (Device)」 的安全性。例如確認電腦是否有裝防毒、OS 是否更新、是否為公司納管設備。

  • 在零信任中，設備健康是授權決策的「輸入條件」之一（例如：設備不安全就不准存取），但這個機制本身是在管硬體，而不是在管應用程式的授權規則。

總結

• (A) 應用程式授權 (規則與權限) <- 正確答案

• (B) 網路監控 (NDR)

• (C) 網路隔離 (Micro-segmentation)

• (D) 設備管理 (Device Trust)