在疫情大流行期間民眾可透過手機門號預約施打疫苗,或是政府發放3倍券、5倍券,幕後的身分認證技術正是臺灣網路認證公司(TWCA)所提供。TWCA身為民間最大的憑證發行機構,旗下「TWID身分識別中心」因應國家資通安全研究院(簡稱:資安院)負責推動政府機關導入零信任架構(ZTA),開始提供「TW ZTA零信任服務」,協助落實身分鑑別、設備鑑別、信任推斷。
臺灣網路認證公司產品總監連子清指出,美國國家標準暨技術研究院(NIST)制定的SP 800-207標準,已成為落實零信任概念的參考依據。問題是,整個框架範疇幾乎涵蓋資安市場多數技術,讓有意引進零信任架構的企業與組織不知從何處著手。對此,資安院將實施進程分為三個階段:第一階段著重於身分鑑別,而非僅僅是身分識別;第二階段則是對設備進行鑑別;第三階段是信任推斷的建立。
在資安院推動零信任架構過程中,TWCA可說扮演了重要角色。畢竟TWCA自1999年成立以來,即以網路認證為主要業務,主要股東成員亦為金融服務產業的核心單位,客戶遍及保險、證券、銀行,以及企業用戶。隨著零信任架構開始啟動,勢必須建立可信賴的認證體系,且金融監督管理委員會(金管會)也開始要求公股銀行實施身分鑑別,預期將產生示範效果,帶動更多企業落實零信任原則。
盤點數位資產與工作流程
參考NIST提出的發展零信任規範,他建議可從三個方向著手。首先是在導入零信任架構前,必須進行詳盡的盤點,涵蓋人員角色與數位資產。連子清說明,在現代化的辦公環境中,角色不再僅限於實體人員,還擴展至虛擬角色。例如,一名IT員工可能同時扮演管理員或操作者的角色;而郵件伺服器,則被視為具有獨立角色的虛擬實體。這些角色都有各自的存取權限和安全機制,因此,在零信任架構下,進行精確的角色盤點是基礎且關鍵的步驟。
其次為風險評估,這是不可或缺的過程,尤其是應用場域中的風險辨識。這涉及了用戶行為的各種情境,如登錄、交易等操作,風險層面皆有所不同。舉例,銀行系統的外部用戶,可能因為密碼被竊導致資產損失;而內部用戶則可能面臨個資外洩的風險。 第三是營運作業流程的梳理。連子清指出,了解導入零信任架構之前的運作模式,有助於識別和理解流程改變後可能出現的風險。例如單一登入(Single Sign-On)的申請流程就是一個考量點。只有在清晰地掌握現有流程後,才能有效地導入零信任機制,並確保轉換過程中的安全性和順暢性。
選定引進零信任架構的標的
針對現有資源和風險的全面盤點之後,接著是明確地選定一個具體的範圍或目標實施零信任控管措施,例如高風險的員工、對外提供服務的系統等應用場景。根據選定的目標,再評估合適的方案,才可達到零信任控管目標。
TWCA憑藉在FIDO技術和公開金鑰基礎建設(PKI)領域的深厚背景,發展出TW ZTA零信任服務,以符合政府零信任架構第一階段需要達成的身分鑑別功能。連子清說明,TWCA本就是FIDO協會的成員,已具備FIDO ID行動金鑰服務,對於身分鑑別要求的FIDO等驗證技術,TWCA自然可順利通過驗證。
第二階段的設備鑑別,特別之處是必須要兩種不同金鑰。關於用戶識別,第一把鑰匙須符合FIDO標準,以保障身分驗證過程的安全性。而第二把鑰匙,專用於設備識別,則沒有FIDO的具體要求,但建議將此鑰匙保存在設備的TPM晶片或安全元件(Secure Element)。
實際上,不同類型設備的安全性設計有所差異。例如Apple產品主要使用硬體晶片來提供安全保護,而Android裝置則可能使用硬體晶片或軟體兩種方式。桌機或筆電儘管大多已搭載晶片,但某些採用Linux系統的桌機可能僅依賴軟體解決方案。對此,設備鑑別應具備功能性機制僅適用於Windows作業系統的電腦,其他非Windows系統與行動裝置則尚未被納入。
「TW ZTA零信任服務可為Windows作業系統提供設備鑑別服務,利用TPM的開放介面來儲存金鑰。這種作法稱為信物(Credential)管理,也就是在確認使用者身分後,配發專屬鑰匙。」連子清說。隨著零信任原則在IT市場的興起,TWCA也考慮與相關的解決方案合作,以提供更全面的信任推斷服務。預期可能以身分認證為核心,整合或加入其他廠商的生態鏈,透過API整合運行。如此一來,設備鑑別也就不限於硬體支援,還包括軟體層面的考量,例如防毒軟體、作業系統、商用軟體的配置。
建構PKIoT生態系確保裝置安全
TW ZTA零信任服務提供的身分鑑別機制,不論用戶為已知或未知,都能有效地確認。針對未知的用戶,TW ZTA零信任服務結合了身分識別與鑑別機制,而對於已知的用戶則簡化成單純的身分確認過程。連子清認為,兩種不同機制的整合正是TW ZTA的優勢。 他進一步說明,身分鑑別的要求提供一種安全的方式來確定使用者的身分,並非只有FIDO金鑰一種選項,或可納入自然人憑證等機制,滿足更多應用場景需求。實際上,過去資安領域,公開金鑰基礎建設(PKI)始終扮演關鍵角色。相對於FIDO標準,PKI的一大優勢在於實名制的特點。依據台灣的電子簽章法,PKI中的數位憑證必須明確載明持有者的姓名,這種安全性,甚至超越了單純的金鑰系統。
臺灣網路認證公司產品總監連子清指出,TW ZTA零信任服務提供的身分鑑別機制,不論用戶為已知或未知,都能有效地確認。特別是針對未知的用戶,TW ZTA零信任服務結合了身分識別與鑑別機制,可說是優勢之一。
此外,在設備驗證方面,物聯網(IoT)裝置正在逐步受到重視。連子清指出,IoT裝置的安全金鑰也須採用憑證系統,這些憑證通常是直接嵌入晶片中,出廠即帶有憑證的裝置可確保其來源的可靠性和安全性。現階段TWCA正在積極推動PKIoT體系,讓IoT裝置出廠時已內嵌入憑證,目的是讓消費者依據信任度來選購商品。例如,有些人可能更信任微軟或蘋果的產品,而對於某些來自中國大陸的廠商則持保留態度。
PKI與IoT的結合,涉及軟體與韌體的整合。PKI本身大多是軟體形式,須在出廠前就先行寫入到裝置。TWCA基於PKI領域累積厚實的經驗,正在與新竹的晶片製造商合作進行開發。連子清強調,這種合作模式不僅限於晶片製造,還包括與設備製造商的合作,以確保晶片可以順利應用於各種專屬韌體。屆時PKIoT技術將在各個裝置中發揮關鍵作用。