數聯資安產品部資深產品經理呂亭穎指出,就目前資安院公開的身分鑑別功能符合性驗證通過名單來看,產品大多為地端方案。數聯資安可說是少數採用雲端服務來實踐的廠商之一,但也不代表數聯資安只運用雲端服務來建構,實際上地端也有相對應的方案,讓企業或組織可依據應用需求選用。
政府制定的零信任架構是採取資源門戶部署方式,需要在閘道端部署反向代理機制,除了運行決策引擎,實作身分鑑別、設備鑑別、信任推斷,同時亦可藉此隱藏內部應用系統的接取路徑,確保地端營運場域的封閉性。呂亭穎認為,這種架構潛在風險是反向代理機制有可能遭惡意程式滲透或遭遇DDoS攻擊,破壞正常運行。對此,數聯資安提供的零信任解決方案,把反向代理機制交給國際知名的CDN服務平台來提供,當遇到大量DDoS攻擊時,全球各地部署的邊緣節點足以疏散惡意流量,不至於造成反向代理機制癱瘓而停擺。
透過SAML標準整合地端機制
政府零信任架構依照身分鑑別、設備鑑別、信任推斷等三大核心機制,逐階段推動。目前落實身分鑑別可說是資通安全責任等級的A級公務機關首要任務。對此,數聯資安提供的服務,主要是運用Cloudflare的節點。例如,當客戶端已採用FIDO生物識別驗證機制時,數聯資安便能協助客戶整合FIDO機制與Cloudflare。這種整合是透過SAML標準協定來實現溝通的。至於具體的整合方式,則由數聯資安提供技術服務來實施。
其中一項重要的整合工作,是將機關單位既有的Active Directory身分識別系統與Cloudflare結合,透過加密通道進行資料交換。由於Cloudflare本身不具備獨立的身分鑑別機制,因此必須透過企業既有的Active Directory身分驗證系統進行身分鑑別。對於那些使用Okta、Google等雲平台的身分驗證技術的企業,數聯資安同樣能夠提供FIDO整合服務,以滿足身分鑑別的要求。
呂亭穎說明,數聯資安本來就非銷售產品,而是擅長提供專業領域知識,協助客戶運用雲端服務建構零信任架構。數聯資安專業團隊不僅可提供初期導入部署的顧問、建置服務,後續的監控與維運亦可交由數聯資安的SOC服務來執行。
資安院公布的功能符合性驗證通過清單,主要是針對產品功能,實際上,萬一廠商欠缺導入部署能量,恐難以協助機關單位實作。數位發展部亦認為零信任架構並非購買解決方案即可實現,因此去年(2023)共同供應契約新增名為「零信任網路架構導入及維護服務」,需求單位亦可選擇數聯資安提供的服務。
雲端服務鑑別身分實現隨處辦公
參考NIST SP 800-207標準文件說明零信任架構可發現,為建立零信任環境,必須將來自不同技術領域的元件進行有效整合。數聯資安資安解決方案部技術副理林光耀說明,許多企業或組織在現有的IT架構中,已經部署了能夠實作零信任原則的技術元件。例如身分與存取管理(IAM)等機制,可能本就具備FIDO驗證能力,根本無需額外採購,重點應是整合既有元件以符合零信任架構須達到的目標。也就是讓來自不同地區發起連線接取應用資源的存取活動,必須通過鑑別機制審核通過才可取用,並確保唯有獲得授權的用戶和設備才能存取敏感或關鍵資源。
數聯資安在去年密集與需求單位交流的經驗,呂亭穎不諱言,大多對於採用雲端服務仍有所保留。例如地端的Active Directory系統,數聯資安可提供介接的方案,透過微軟ADFS(Active Directory Federation Services)技術實作,問題是並非每個單位都可接受。
實際上,政府推動零信任架構,本就為了解決資料與應用系統雲端化、工作用的裝置行動化等因素,使得傳統網路邊界變得模糊,資安機制難以發揮功效的窘境。呂亭穎指出,曾拜訪過某個已實作零信任架構的機關單位,同仁即使在辦公室工作,存取資源時仍須透過雲端的身分鑑別驗證通過才允許。這種模式才有能力讓同仁隨處皆可辦公,同時兼顧安全防護機制。
UBA解析異常 SOAR自動化回應
資安院制定的「信任推斷」核心理念在於,每次的系統或資料存取都不應僅依賴固定的安全政策把關,而是應該透過實時驗證和分析來決定是否允許該次存取。這種方法的關鍵在於收集掌握資料、判斷每次連線的合法性,並根據歷史資料來分析和確認設備的安全狀態。
呂亭穎舉例,分析過去的資料可以涵蓋用戶登入的時間、地點、使用的IP位址等。這些資訊可幫助理解用戶的正常行為模式。例如,某位同仁通常只在工作時段取用系統,若突然在半夜發生存取行為,則系統必須發出告警通知異常。這種分析不僅依賴傳統的安全規則,更結合了機器學習和動態資料分析,讓安全政策可以根據實際情況進行調整。
數聯資安SOC服務採用的SIEM平台,搭配使用者行為分析(UBA)便可實作信任推斷。SIEM平台本就有能力收集來自多個來源的資料,能夠進行更深入的行為分析,並根據這些分析結果進行動態的安全調整。例如,用戶的IP位址或存取時間與平常不符,機器學習演算法即可幫助判斷這類異常行為是否應該觸發安全機制。
值得一提的是,數聯資安SOC服務的持續監控,特點是亦可協助監控公有雲服務。林光耀說明,三大公有雲平台GCP(Google Cloud Platform)、Microsoft Azure、AWS,皆可委由數聯資安執行監控。且數聯資安SOC服務不僅只是收集日誌與執行關聯分析,亦整合第三方SOAR技術,透過劇本(Playbook)實現自動化聯防,主動防護避免數位營運場域遭遇攻擊。