因應數位化世代的雲端化應用,以及員工隨處皆可工作的型態,過去邊界防禦思維已不合時宜,演進到零信任已是大勢所趨。自從2020年美國國家標準暨技術研究院(NIST)正式發布標準文件SP 800-207,零信任架構(Zero Trust Architecture,ZTA)開始成為各界認可採用基礎,美國總統拜登更是簽署了編號14028行政命令(EO 14028)以改善國家的網路安全,要求各機構制定實施零信任架構計畫。
台灣在「善用智慧前瞻科技、主動抵禦潛在威脅」政策推動下,數位發展部監督的行政法人國家資通安全研究院(以下簡稱:資安院),亦著手推動政府機關導入零信任架構,強化防護力。根據資安院發布的說明文件,以NIST SP 800-207標準文件來看,把零信任架構區分為核心機制與支援機制,由於涉及辨識、裝置、網路、應用系統或工作負載、資料,範疇相當大,一次完整實施的難度過高。
因此資安院提供可操作性導入步驟,參考美國NIST的零信任架構文件SP 800-207進行規畫,結合政府網路的集中防護需求,提出2022年至2024年期間,計畫遴選合適的機關逐年導入,並重點發展決策引擎的「身分鑑別」、「設備鑑別」及「信任推斷」三大核心機制。
身分鑑別機制將聚焦於多因素身分鑑別以及簽章與加密的身分鑑別聲明。設備鑑別則包括基於軟體憑證或TPM的公開金鑰密碼系統鑑別協議,以及持續監控設備健康管理。信任推斷機制則依據各類輸入資料,進行動態評估與計算,以提供決策支持。以三階段方式導入,避免影響原有系統運作,降低落實零信任架構影響的疑慮與負擔。
引進合適的工具轉換信任原則
零信任是一種用於維護組織安全的策略,其核心理念在於不主動對任何用戶或設備給予信任,即便這些元素已是組織內部網路的一部分。不論是人或設備存取組織資產,須實施嚴謹的身分認證和授權程序,藉此消除以往對內部元素的預設信任。在這種安全架構下,所有試圖存取資源的行為都會被視為來自外部的可疑活動,通過安全檢驗後才可順利取用資源。
臺灣網路認證公司產品總監連子清指出,政府組織如同多數大型企業,在實施零信任架構時難免遭遇挑戰。例如傳統應用系統常依賴「隱含信任」,這種信任很少根據固定屬性評估存取驗證與授權,無法符合ZTA適應性評估信任的原則。現有IT基礎架構勢必需要引進工具技術,以協助落實零信任原則。
「資安院定義的零信任架構範圍相對較小,因此其可行性較高。」連子清說。不過,即使範圍縮小,實際落實這些措施仍非易事。以身分鑑別為例,主要針對已知的身分,通過發放金鑰的方式進行鑑別。過去員工習慣使用帳號和密碼登入,但如今身分鑑別則需要添加金鑰。這主要是因為傳統的帳號和密碼登入方式存在著明顯的風險,例如,無法分辨是用戶端還是伺服器端在進行登入,並且無法抵禦中間人攻擊。如果能夠增加金鑰驗證機制,且授予最小權限,將有助於降低攻擊者偽裝合法行為的風險。
身分與設備鑑別為信任推斷奠基
在當前的資安院提出的身分鑑別中,重要的兩大機制包括多因素身分驗證以及基於電子簽章和加密技術的身分驗證聲明。其中,多因素身分驗證技術,除了傳統的實體安全金鑰或手機應用程式,較特別是增添了FIDO標準,可提供無密碼的登入方式。數位部在2023年正式加入成為FIDO聯盟會員後,預期將可進一步推廣FIDO標準應用範圍,除了現行的政府、金融業採用,亦可讓各行業在為網路服務身分識別提高安全保障的同時,也顧及使用者的方便性。
另一方面,身分驗證聲明機制則涉及到存取控制證明的發行,這通常是以JWT(JSON Web Token)或SAML的格式來實現。這種機制透過專屬API,提供機關資通系統(RP)介接整合,進行身分驗證聲明,通過鑑別後再配發合適的資料存取權限,防止未經授權的存取以降低資料外洩風險。
至於設備鑑別主要包括兩種機制。首先是採用基於軟體憑證或硬體安全模組(TPM)的公鑰加密技術,來確保用戶端設備受到組織的嚴格管理。這種方法確保了設備的正確性和安全性。其次,實行一個持續的設備健康狀態監測程序,確保設備上運行的作業系統、防毒軟體、應用軟體確實安裝最新修補更新,以及確認設備環境的組態設定符合標準規範。這樣的機制有助於持續更新和維護設備的健康與信任狀態。
最後是實作信任推斷,可基於從各種來源收集的資料進行動態分析和計算風險數值,進而產生信任分數。這個分數被用作指導設備存取權限的依據,確保了存取控制的有效性和適應性。
整合機關資通系統保障用戶體驗
針對ZTA部署模型,NIST提出裝置基於代理/閘道的部署、應用資源區域(Enclave)的部署、應用程式沙箱、基於資源門戶的部署,共四種不同情境。基於代理/閘道的部署模式,策略執行點(PEP)分為兩個組件,分別配置在用戶端,或作為直接面對用戶端的資產。例如,企業發放的公務筆電預設安裝代理程式,用以協調連接應用服務前方配置的閘道器,並且把員工發起存取請求的流量導向策略執行點以便進行評估。適用於不希望實施 BYOD策略的企業。只能通過設備代理進行訪問,該代理可以放置在企業擁有的資產上。
應用資源區域(Enclave)部署方式,較偏向採以內部防火牆、VLAN、網路存取控管(NAC)、VPN等機制來管制資源存取行為,較適用於仍維持傳統的地端應用場景。至於應用程式沙箱的應用情境,主要優點是可將單體式應用系統與資產的完全區隔。如果無法掃描資產中的漏洞,則可以保護這些獨立運行的沙箱應用程式免受主機上潛在惡意軟體感染。問題是,沙箱環境中的應用程式也可能出現漏洞遭滲透成功,難以保證運行環境安全無虞。
最後,基於資源門戶的部署,則為資安院目前定義採用的部署模式。機關資通系統(RP)的主要溝通對象為反向代理技術的閘道器,其依據決策引擎存取決定,負責建立、監控及終止使用者與機關資通系統的網路連線。除了可隱藏內部資源真實網路路徑,亦可藉此堵絕阻斷服務攻擊。
全景軟體產品研發處資深協理柳永祥指出,政府推動的零信任原則與應用系統之間的結合性十分緊密,進展速度較快的單位,大多是既有IT環境已經有單一登入機制(SSO),只要增添零信任原則所需的機制結合運行,即可快速達成階段性目標。透過集中式管理安全認證,將所有應用系統的登錄機制整合,使用者通過強認證後,存取行為便無須再次輸入帳密,藉此實現不影響用戶體驗下轉換為零信任控管模式。