Compartmented 隔離分區機制：雙重鎖定存取控制如何阻斷資安事件橫向擴散

當攻擊者突破單一帳號後，橫向擴散（Lateral Movement）往往比初始入侵更具破壞力。Compartmented 隔離分區機制透過雙重鎖定，讓即使持有高等級許可的使用者，也無法任意存取超出職責範圍的資料。

什麼是 Compartmented 雙重鎖定機制？

Compartmented 源自軍事與情報領域的資訊分類架構，核心邏輯是：安全許可等級（Clearance Level）只是必要條件，不是充分條件。使用者必須同時通過兩道驗證——「許可等級相符」與「明確的知悉必要性（Need-to-Know）」——才能存取特定分區。這與傳統 RBAC 僅依角色授權不同，Compartmented 要求每次存取都有明確業務理由，大幅縮小爆炸半徑（Blast Radius）。即使攻擊者竊取高權限憑證，也因缺乏分區歸屬而被阻擋在外。

如何阻斷資安事件的橫向擴散？

在現代零信任架構中，Compartmented 通常以屬性式存取控制（ABAC）實作。存取決策引擎會同時評估使用者屬性（許可等級、分區標籤）與資源標籤（分區 ID、資料分類），兩者皆符合才允許存取。以雲端環境為例，AWS IAM 可透過 Condition Key 搭配資源標籤實現分區隔離；Azure 則以 Sensitivity Labels 配合 Conditional Access Policy 達成相同效果。分區邊界一旦建立，單一帳號遭入侵時，損失範圍被嚴格限制在該帳號所屬分區內，無法跨分區移動。

# AWS IAM Policy：僅允許存取標記為相符分區的 S3 物件
"Condition": {
  "StringEquals": {
    "s3:ExistingObjectTag/Compartment": "${aws:PrincipalTag/Compartment}",
    "s3:ExistingObjectTag/Clearance":   "${aws:PrincipalTag/Clearance}"
  }
}

💡 重點整理

• 雙重鎖定：許可等級 + Need-to-Know 缺一不可，單一條件不足以授權。
• 縮小爆炸半徑：帳號淪陷時，損失範圍被限制在單一分區，無法橫向擴散。
• 標籤驅動執行：以資源標籤與主體屬性比對作為存取決策依據，易於自動化稽核。
• 零信任相容：Compartmented 與 ABAC、最小權限原則天然契合，強化縱深防禦。

Compartmented 隔離分區機制將「你有多高的權限」與「你被允許知道什麼」分開管理。在威脅日益複雜的今天，這道雙重鎖定是阻止事件擴大的最後一道精準防線。

📚 參考文獻

1. NIST SP 800-162 – Guide to Attribute Based Access Control (ABAC) Definition and Considerations：ABAC 與分區存取控制的權威定義文件。
2. AWS Documentation – IAM: Control access to AWS resources using tags：以 PrincipalTag / ResourceTag 實作分區隔離的官方指南。
3. CISA Zero Trust Maturity Model（2023）：零信任框架下 Compartmented 存取控制的實踐建議。

⚠️ 本文內容基於撰寫時的最新資訊，實際應用時請參考官方文件的最新版本。