隨著數位化時代的發展,雲端應用普及,且員工能在任何地點進行工作,傳統的邊界防禦思維已逐漸不再適用,轉而採用零信任架構成為了大勢所趨。自從2020年美國國家標準技術研究院(NIST)發布了零信任架構的標準文件SP 800-207,開始被廣泛應用。
近兩年政府單位在資安即國安戰略發展下,由數位發展部監督的行政法人國家資通安全研究院(資安院)亦參考NIST文件制定了政府零信任架構,規劃讓A級公務機關且已導入T-Road(政府資料傳輸平台)的單位優先實施。預期未來除了各級公務機關陸續導入,這套政府零信任架構勢必也將成為企業採行零信任的重要參考指引。
資安院規劃的政府零信任架構,採取的部署情境為資源門戶部署(Resource Portal-based Deployment),亦即存取請求須透過反向代理閘道器負責驗證安全性與連線溝通,藉此運行決策引擎,執行身分鑑別、設備鑑別、信任推斷。不論存取請求來自內部或外部網路,皆必須經由存取閘道檢查完成,才能夠接取資源。為了避免唯一路徑發生效能瓶頸,需搭配負載平衡機制確保用戶體驗,同時亦可避免遭DDoS等攻擊。
SOC服務攜手合作夥伴獲驗證通過
政府零信任架構中的決策引擎,是由鑑別聲明伺服器與決策控制器所組成。決策控制器運行的「身分鑑別」,可在現有的Active Directory身分識別基礎上,增添實體金鑰或FIDO機制來提供多因素驗證;「設備鑑別」則是須可確認使用者發起存取連線的設備為合法可管,且運行環境未發現潛在風險;「信任推斷」主要依據使用者操作行為與設備運行狀態,即時掌握異常存取。使用者完成登入的資訊,再透過鑑別聲明伺服器,遞送到API介接整合的應用系統取用資源。
身分鑑別、設備鑑別、信任推斷可說是整體零信任架構中的關鍵核心機制,數位發展部(數位部)規劃以此設立為三階段的目標逐步轉型,並且廣邀國內商用產品投入發展符合政府零信任架構需求,經過檢核表自評、功能展示,以及實際在資安院的測試環境中部署驗證功能性。
目前資安院已公開通過功能符合性驗證名單,身分鑑別項目就有十餘家,其中不乏資安監控中心(SOC)業者,例如安碁資訊、中華資安國際、數聯資安,可基於既有資安監控中心服務累積的知識,攜手合作夥伴提供解決方案與服務,以協助公部門落實建置零信任架構。至於近期更新的身分與設備鑑別功能符合性驗證通過名單,僅有全景軟體首先通過。信任推斷功能,則尚在驗證檢核表意見徵詢。
落實轉型政策須由預算助攻
安碁資訊結盟暨策略業務發展部處長張文棟認為,未來十年內,零信任架構將逐步發展,擴展到所有的核心系統,尤其是新開發的應用系統,都將納入零信任思維,而非單純依賴於額外增添的資安機制。「這不僅會增進運行效率,也會提升安全等級,」他預期,安碁資訊在信任推斷方面,將會發揮重要作用,可為既有服務的客戶提供諮詢和解決方案的整合需求。
就現階段來看,張文棟亦觀察到,企業界對於政府推動零信任架構的政策充滿期待,希望藉由政府的推動成果作為參考,以便提升自身數位營運場域安全等級。但他認為,從目前的預算編列情況來看,政府在零信任架構的推動上似乎較難達到具有廣泛影響力的示範性效果。
數位發展部推政府零信任架構,依據身分鑑別、設備鑑別、信任推斷等三大關鍵機制切分階段性導入。
零信任架構作為一項國家級的資安政策,無疑是一項重大的宣示,藉此加強網路安全防護,防止資料外洩與滲透攻擊。因此張文棟建議,欲強力主導資安政策,應編列一筆特別預算,再要求各單位提出申請計畫。接下來,可從中挑選優先導入部署的單位,扮演示範性應用場域。這種模式才有利於推動改變資安管理規範。
新舊機制雙軌並行驗證
於2023年獲身分鑑別合格廠商驗證後,中華資安國際已協助多個A級單位進行需求分析、評估與規畫。中華資安國際經理邱品仁說明,目前已有多個A級單位,委請合格驗證廠商進行小範圍的身分鑑別與資源門戶式存取閘道概念驗證(POC)。邱品仁從實際參與專案執行的經驗中,歸納出四項常見的挑戰。
首先是導入範圍的確立。他說明,雖然資安院在公開發布的「政府零信任架構身分鑑別機制導入建議」文件中,已建議可選擇允許VPN連線存取的應用系統為優先導入標的,實務上各單位挑選的應用系統,仍須根據日常上線使用人數、系統關鍵分級等進行討論,可能涉及跨單位的溝通協調,並需要資訊部門與廠商的專業指引。
其次為身分鑑別機制串接的可行性。由於零信任的概念是以資料、存取資源為中心,進行更細緻、動態的控管措施,因此在資安院的指引中,建議單位需評估將應用系統與導入的身分鑑別系統串接,進而達成單一簽入、多因素驗證的存取控管防護能力。問題是,當前多數的應用系統本就採以Active Directory或LDAP進行身分識別,如今增添串接身分鑑別系統,除了改變原有認證流程,最大的挑戰會是應用系統本身需要進行開發與異動,若應用系統是委外客製化開發,甚至需要仰賴協力廠商支援,實屬不易。
第三個挑戰是多因素鑑別機制的導入。依據資安院發布的「政府零信任架構說明」指引,建議政府機關須達到NIST SP-800-63中所定義的IAL(身分保證等級)第二等級、AAL(鑑別保證等級)第三等級、FAL(聯邦保證等級)第二等級。其中,AAL第三等級的要求,意味著多因素驗證需要滿足相當高的安全強度,傳統的簡訊OTP(一次性密碼)等方式無法滿足安全防護等級需求。而導入實體安全金鑰、FIDO鑑別系統與App等,亦需要導入單位配置額外預算進行辦理。如單位選用實體安全金鑰的方式,又須評估如何進行安全金鑰的配發、管理等流程,將會增加額外的導入工作與流程負擔。
第四點是零信任架構解決方案上線運行後的管理維運。隨著零信任解決方案的導入與整合,上線運行後勢必需要額外投入技術人力去維運多套異質系統,例如身分鑑別系統、存取閘道等。
不論是公部門或私人企業,資安管理辦法改以零信任思維來配置控管措施已是全球發展趨勢,邱品仁建議,可參考資安院的建議指引,依據應用系統資安等級、存取控管防護強度等指標,來評估導入部署鑑別機制。並採取新舊機制雙軌並行加以驗證,方能有序地啟動零信任架構的轉型。