零信任網路戰略成形 優先推動A級公務機關導入
文:Jessie Lin 圖:Vivian kao
在網路技術盛行的時代,網路資安危機是各企業甚至各國所面臨的最大問題。對於企業,國內外知名企業都曾遭受駭客及勒索軟體攻擊,尤其以Covid 19疫情導致遠距辦公政策普及,也意外導致另一波駭客攻擊高峰;對於國家,資安危機也牽涉國安危機,例如俄羅斯對烏克蘭發動戰爭,同時也發動大規模駭客攻擊引發各國重視,我國政府也以「資安即國安」政策來正視網路資安議題。
過去的資安架構,通常僅透過防火牆等相關架構區分「安全」、「不安全」網路,也就是針對內部區域網路連線即是為安全,這也成為駭客攻擊主要漏洞。包含2022年初國際科技大廠Nvidia、三星都曾遭受勒索病毒攻擊,駭客首先主要是透過釣魚信件誘使工作者點擊惡意連結,導致下載並執行惡意軟體;其次以埋伏於裝置端惡意軟體竊取工作者各項帳密資訊;最後即利用之企業內部網路環境的管道(如VPN或是AnyDesk的帳密資料與IP位址)橫行於所謂的安全網域之中。
「零信任網路架構」即是因應上述困境所提出的解決辦法。所謂零信任,並不表示任何東西都不信任;更確切來說,指的是不能只相信或一味的相信內網使用者,也非完全地不信任外網的使用者;而是針對每一次新建立連線,不論內外網使用者都必須經過驗證,以此保障每一個連線的安全性。
美國國家標準技術研究院 (NIST) 針對零信任架構制定標準指南SP 800-207,也成為各國與企業參考的準則。
SP 800-207提到七大原則
1.識別可存取資源
2.連線安全
3.妥善存取控制
4.考量存取者狀態
5.了解資源狀態
6.監控裝置與資源風險以及
7.持續收集資訊與改善
NIST明確指出,在零信任架構中,企業不再有隱性的信任,對於內部資產和業務功能的風險,必須經過不斷地分析與評估,並且制定防護措施來緩解這些風險。這些防護措施通常要盡可能減少對資源(如資料、運算資源與應用程式/服務)的存取,只允許那些被確定為需要存取的使用者與資產存取,並對考量存取請求的身份和安全態勢,進行持續的身分識別與授權。
簡而言之,零信任架構一種基於零信任原則的企業網路安全架構,目的是要盡可能去防止資料外洩與限制內部橫向移動。並且零信任不是單一的架構或產品,而是一套關於工作流程與系統設計運營的指導原則,其優點就是可改善任何機密分類或敏感資料層級的安全現況。
台灣政府零信任架構主要參考 NIST 零信任架構,並結合向上集中防護需求,採存取門戶部署方式,具備身分鑑別、設備鑑別及信任推斷3大核心機制,並於2022-2023年間逐步導入。
– 身分鑑別:FIDO2身分鑑別與鑑別聲明
– 設備鑑別:TPM設備鑑別與設備健康管理
– 信任推斷:基於分數與情境之信任推斷機制
在部署原則上,目前我國政府已提出兩大考量要點,首先,強調相關零信任組件的部署,需具備與現有系統同時混合作運作的能力,其次是優先考量部署於政府機關維運的地端(On-Premises)環境。
零信任網路導入為政府強化資安防護之既定政策,將優先於資通安全責任等級A級公務機關推動導入。並成立零信任專區公告商用產品評選標準以及通過驗證之供應商。偉康也是通過身分鑑別解決方案的供應商,後續也將持續關注設備鑑別及信任推斷之評選標準,以提供最完整零信任解決方案。
訂閱偉康科技洞察室部落格,掌握最新科技趨勢!
專人協助
由偉康業務人員為您詳細說明偉康的解決方案,以及相關產業經驗。
About The Author
