「零信任(Zero Trust)」概念在多年前已有國內外學者與機構提出討論,並發展出架構指導方針,近年因為遠距辦公和行動工作等新形態的需求加速了數位轉型的發展,科技的便利卻也伴隨著多元的攻擊。各國政府相繼推動零信任網路部署,鼓勵企業採用「永不信任,始終驗證(Never Trust, Always Verify)」的架構以強化資訊安全。
在此背景下,美國國家標準暨技術研究院(NIST)於 2020 年 8 月發布之《SP 800-207》定義零信任組件與部署模式,奠基零信任的基礎。其他零信任參考標準如美國網路安全暨基礎安全局(CISA)《零信任成熟度模型》與美國國防部(DoD)《零信任參考架構》等。我國政府亦於 2021 年 2 月行政院國家資通安全會報發布「國家資通安全發展方案(110年-113年)」,並且將 A 級公務機關的身分鑑別、設備鑑別和信任推斷作為優先推動的目標。在國內外各主管機關的推動,以及參考框架趨於完整的雙重影響之下,企業也開始正式進入零信任架構的實際建置階段。
防守策略的反轉
企業在評估零信任資源投入的過程中,往往容易受限於既有已建置之框架與概念,建議企業可從源頭觀念的轉換來切入:傳統的網路模型假設所有內部使用者和資源都值得信任,仰賴於進入內部資源的防守策略,一旦劃分內外部的卡控點遭到破壞,容易被攻擊者利用漏洞入侵網路。反之,零信任模型假設內部和外部的使用者都不值得信任,需要通過驗證和授權確認其身分後才能存取資源,在此精神下,可以確保每個需要存取權限的動作都受到監控與授權,也降低遭到全面入侵的風險。企業透過零信任的架構,可以實現以下優勢:
一、強化存取控制及資訊保護
零信任架構下的存取權限會根據使用者的身分、角色和需求進行細分,所有存取資源的使用者都需要經過身分驗證和授權,以此實現最小權限原則並減低內部和外部遭攻擊者全面入侵的風險。
二、增進可視性與監控能力
零信任架構採用多重驗證和授權機制,對比傳統上仰賴單一或可能被破解的驗證機制,除了可提高驗證的有效性,對使用者和資料的可視性與監控能力也會具有顯著的提升,進而使企業能夠更能掌握威脅發生的潛在跡象。
三、加速安全事件檢測和回應
零信任架構下,所有存取資源的事件都會被記錄,有助於企業發展稽核規則、與其他事件回應解決方案進行連結,更可以幫助企業對內部潛在風險進行預先評估及事件回應,有效提升檢測到異常活動和安全事件之精準度與反應效率,達到保護企業的資產和使用者隱私等目標。
建構安全的組織文化
零信任的概念已經被提出多年,資安相關業者也普遍肯定零信任概念所帶來的安全效益,但是對於企業來說,要實際開始建置並考慮與原有架構及解決方案兼容的議題,還是巨大的挑戰。俗話說:「萬丈高樓平地起」,企業如何覺察在推動零信任時會遇到哪些挑戰,以及如何能夠協助客戶克服困難,攜手共同構築零信任環境的堅實地基。
企業必須認清一個事實,從傳統資訊安全模型轉型到零信任架構,這樣的過渡並非一蹴可幾。它需要周全的規劃、恰當的資源配置,以及持續的執行。不同於傳統的「信任並驗證」模式,ZTA 的實施需要對現有的IT基礎設施進行調整,這其中可能包含設備、軟體以及人員的訓練與調整。雖然這樣的轉變可能讓企業在初期面臨一些挑戰,但從長遠來看,將傳統的安全架構轉型為零信任架構將能有效提升企業的網路安全,降低資訊被盜取或遭到破壞的風險。尤其從隱私角度來看,更能從架構與規則的設計開始防患於未然。
