已通過政府零信任架構身分鑑別功能符合性驗證的SecuTex ZTA Fabric解決方案,為中華資安國際運用美商零信任資安新創公司Pomerium的工具技術所建構,以滿足數位發展部制定的身分鑑別、設備鑑別、信任推斷等三大核心機制,並且藉由反向代理閘道器實作資源門戶部署模式。
中華資安國際經理邱品仁指出,目前中華資安國際不僅提供SecuTex ZTA Fabric解決方案,同時亦透過共同供應契約提供「零信任網路架構導入及維護服務」,包含:零信任網路架構導入服務、零信任網路架構5×8維護服務與7×24維護服務。客戶可依據需求購買零信任解決方案與專家服務,進行規劃、導入、建置、維護。此外,目前SecuTex ZTA Fabric解決方案亦已整合到中華資安國際的SOC監控服務,既有的SOC客戶僅需要透過設定日誌拋轉,即可將零信任解決方案納入SOC監控範圍。
邱品仁進一步提及,目前中華資安國際除了提供地端建置版的零信任解決方案,亦積極與國外的知名合作夥伴合作,期望未來可提供客戶ZTA as a Service模式,減輕客戶需要自行維護管理產品系統的負擔,並提供更高的服務級別與承載能力。
身分鑑別規範保證等級
根據資安院制定的政府零信任架構,身分鑑別參考NIST SP 800-63-3規範,依據註冊、鑑別及聲明三階段,將身分鑑別細分為身分保證等級(IAL)、鑑別保證等級(AAL)和聯邦保證等級(FAL)三類,每個類別又各有三個不同的等級。
邱品仁指出,政府機關導入的身分鑑別,至少需要達到IAL等級2、AAL等級3、FAL等級2。其中,達到AAL等級3的要求非常嚴格,需要實施多因素驗證,無法沿用傳統的簡訊一次性密碼(OTP)方法,須透過實體金鑰、FIDO標準,以免遭中間人攻擊。這不僅僅涉及將人員帳號與Active Directory等身分識別系統進行連結,即所謂的身分綁定,而且須符合IAL等級2要求親自提供證據進行身分證明,以及IAL等級3則需要在監督下親自提供證據和生物特徵進行身分證明。
他於2023年實際走訪客戶端發現,許多應用系統已開始採用生物辨識技術來輔助驗證,最初的目的主要是實現單一簽入(SSO)功能,確保使用者安全兼顧方便性。然而,單一簽入系統可能已經把客戶端的身分相關帳密予以集中配置與管理,更棘手的是,該系統未必支援現代化應用採行的SAML、OAuth、OpenID Connect等通訊協定。因此,欲達到身分鑑別規範的安全層級,須額外導入部署決策引擎,也就是反向代理閘道器,並且整合運行實作存取控管。
引進自建部署存取代理助合規
在零信任架構中,身分鑑別和存取控管是關鍵要素。資安院參考美國國家標準與技術研究院(NIST)制定的框架,關鍵的決策執行點是由反向代理閘道器來實現,也是第一階段建置期間的重要組件。如何將身分鑑別機制與存取控管政策結合,可說是現階段政府單位實作面亟待解決的問題。畢竟公部門的預算編列有限,只能謹慎評估、逐步推進到設備鑑別與信任推斷。
為協助公部門落實身分鑑別目標,中華資安國際與零信任資安新創公司美商Pomerium合作,提供實作工具。邱品仁說明,開發高效的反向代理伺服器並非易事,需要大量的研發和設計投入,才有能力推出可根據使用者的身分和存取請求上下文,更精細地配置允許取用資源的技術。對中華資安國際而言,其擅長的是發展決策引擎和橫向整合領域,以滿足公部門客戶的需求,如今藉由合作夥伴Pomerium的技術實作存取控管,使用者不論在任何地點發起存取資源的請求,透過Pomerium邊緣部署反向代理技術,無須仰賴VPN連線即可達成,並且可基於情境感知(Context-aware)來配置存取權。
除了政府單位,2023年中華資安國際也開始陸續與金融業分享零信任架構實作方法。邱品仁說明,金融業主要推動力來自金融監督管理委員會(金管會)發布的金融資安行動方案2.0中,提出鼓勵採以零信任原則進行網路部署、設計防護架構,金融單位亦已經展開對零信任解決方案的評估,以及內部防護架構轉換至零信任架構的差異分析。
由於金融業應用系統數量非常龐大且架構複雜,零信任控管模式欲落實,首要遭遇的困境是導入範圍不易界定。邱品仁觀察,已有部分的金融業決議傾向以內部的維運區,採擴充的方式強化現有的存取控管機制,來達成符合零信任架構的精神。
依據工作流程發展信任演算法
以往IT熟知的存取控管機制,像是防火牆等資安設備,大多會使用Rule-based方式,依據來源IP與目標IP位址、存取的協定類型進行控管。而在零信任架構指引下,引入了政策引擎(Policy Engine)與決策控制點(Policy Decision Point)的概念。為了能夠達成更精確、更細緻的存取控管機制,信任演算法其實是一個概念性框架,主要是提供從基本的規則(Rule)進行延展,整合所有控管措施產生的資料,作為是否允許存取請求的依據。
中華資安國際經理邱品仁(右)與資深工程師陳柏叡(左)指出,零信任架構交由SOC服務持續監控,有助於統整資安控管措施產生的資料,藉由信任推斷演算法來判讀風險與輔助執行決策。
邱品仁建議,亦可以參考Google BeyondCorp的實作概念,信任演算法需要具備可依據企業或組織的工作流程調整、適應的能力。例如搭配企業或組織內部的資產管理機制,準確地識別發出請求的主體(Subject)所使用的設備,是否為已納入管理的資產;甚至是可以與資產管理系統連動,如果設備已經屆齡汰除,其資產狀態亦會影響到信任演算法的推斷結果。
目前有許多企業、金融單位皆已導入特權管理系統,欲存取特定系統通常需要事先申請,經過審批後才能獲得指定時效內的存取權限,並具備自動回收機制。在導入零信任架構時,信任演算法可能也會需要將這類型的決策條件(Criteria)納入評估點之一,以利可以維持原有的控管程序,兼具提升安全性。
「零信任架構中所提出的信任演算法是個框架概念,我們可以預期未來市場上的解決方案將能夠越來越廣泛支援各種准駁條件,以縝密的邏輯運算能力,來達成精確與細緻的管控。」邱品仁說。