零信任架構(Zero Trust Architecture,ZTA)備受資安圈與全球政府重視,不只是美國政府在近一年來提出具體規畫,我國政府今年亦將開始行動,根據行政院國家資通安全會報技術服務中心(以下簡稱技服中心),他們在7月中旬揭露相關資訊,並指出為了強化政府資安防護,導入零信任架構已經成為既定政策,目前確定將優先推動國內A級機關逐步導入。
多國推動零信任,臺灣也在2021年已有規畫
縱觀全球,美國政府推動零信任網路安全戰略腳步最快,已經公告明確政策與時程表,他們要求聯邦機關要在2024年前完成初步遷移,也透過該國的國家資安卓越中心(NCCoE),推動商用產品符合NIST零信任架構。
其他政治實體也陸續宣布將零信任網路安全納入國家戰略,例如,歐盟在2020年建立歐盟網路安全戰略,提出標準框架,協助成員國轉型;新加坡在2021年10月提出網路安全戰略;中國也發起「零信任聯盟」。
對於臺灣而言,零信任網路安全同樣成為重要國家戰略。在2021年2月,我國發布的第六期「國家資通安全發展方案(110年至113年)」,已經提到此一戰略——在4大推動策略「善用智慧前瞻科技、主動抵禦潛在威脅」一項的內容中,就已明確指出將推動政府組織導入零信任架構,將是發展方向之一。
根據這份發展方案的內容來看,政府這麼做,主要是為了完善政府網際服務網防禦深廣度,將在遞送、攻擊、安裝、發令與控制等階段,發展主動式防禦技術,因此將建立零信任架構資安防護驗證環境,評估並逐步試行以驗證其可行性。
而在2021年,技服中心已完成零信任架構,與概念性驗證研究及部署機制。
到了2022年7月,政府的下一步行動已經確定,那就是,將優先推動資通安全責任等級的A級機關,導入零信任網路架構,並促進國內廠商發展零信任架構資安產業鏈。特別的是,由於現階段適逢政府組織架構調整,因此接下來,將由數位發展部資通安全署規畫投入經費。
目前正遴選機關試行,接續再推動A級公務機關導入
政府推動零信任架構,將有兩大面向,包括政府機關層面,以及在商用產品層面。
以政府機關層面來看,我國政府零信任網路安全架構的規畫,主要參考美國國家標準暨技術研究院(NIST),所發布的NIST零信任架構文件SP 800-207,並結合我國政府網路向上集中防護需求,因此,規畫上決定採門戶部署方式(Resource Portal Model),並預計在2022年先遴選適合的國內機關,以逐年導入方式,在2022年到2024年,建立起零信任架構中決策引擎的「身分鑑別」、「設備鑑別」,以及「信任推斷」這3大核心機制。
之所以先要遴選機關,目標是先進行導入試行作業,將考量機關向上集中、網路架構與帳號管理方式等面向,因此,也將不限於A級公務機關,而在現階段,將會進行那些工作?8月中旬已進行遴選。後續則將推動A級公務機關導入。
值得關注的是,由於目前政府核定的A級機關多達90個,其中有40多個是中央公務機關,因此相關優先導入的政策,將待資安處或未來資安署公布。而從目前導入的核心機制來看,顯然初期將聚焦的是零信任架構中的決策引擎組件,其中又以身分鑑別為最優先。
在部署原則上,目前我國政府已提出兩大考量要點,首先,強調相關零信任組件的部署,需具備與現有系統同時混合作運作的能力,其次是優先考量部署於政府機關維運的地端(On-Premises)環境。
關於上述3大核心機制,技服中心已有具體說明。在身分鑑別機制上,包含聚焦多因子身分鑑別,以及簽章與加密的身分鑑別聲明。
前者也就是FIDO多因子身分鑑別機制,可使用實體安全金鑰或手機APP,進行無密碼登入;後者則是由鑑別聲明伺服器發行給使用者的存取授權證明,包括JWT或SAML標準格式,透過鑑別聲明函式庫(API),供機關資通系統(RP)介接時,可取得與驗證鑑別聲明。
在設備鑑別機制上,一是執行基於軟體憑證或TPM的公開金鑰密碼系統鑑別協議,以確認使用者端點設備是受到機關管理,另一是持續監控設備健康管理的機制,包含作業系統更新、防毒更新、應用程式更新與組態合規,以隨時更新設備健康信任等級。
最後,在信任推斷機制上,則是依各類輸入資料,進行動態評估與計算,輸出信任分數以提供存取決策。
將逐步導入身分鑑別、設備鑑別與信任推斷機制
圖片來源/擷取自行政院國家資通安全會報技術服務中心
因應政府機關採購與部署,建立產品功能驗證計畫
另一政府推動的零信任架構重點,在於商用產品,也就是零信任相關解決方案。這主要是為了因應A級公務機關,在2022年到2024年的導入作業,同時,也希望貫徹「資安即國安」戰略,厚植臺灣資安產業自主研發能力。對此,今年技服中心已在網站上推出了「零信任網路專區」,目的是讓國內廠商也能預做準備,參與計畫,並提出可相應的解決方案。
截至至6月9日止,通過身分識別功能符合性驗證的廠商,已有全景軟體,以及與歐生全合作的安碁資訊。同時,技服中心也提供相關說明文件,幫助不論是政府機關與業界廠商,都能了解政府零信任網路的推動政策,相關技術、導入方式,以及產品需求。
同時,為了讓政府機關導入時能夠有一個依循的方針,在8月16日,技服中心已先公開一份針對「身分鑑別」機制的導入建議文件,提供機關參考,當中包含具體參考步驟與檢核表,協助機關逐步建立零信任網路資安防護環境。
在8月16日,「政府零信任網路身分鑑別機制導入建議_V1.0版」已經發布,目的是提供機關導入零信任身分鑑別機制之參考建議。(圖片來源/擷取自行政院國家資通安全會報技術服務中心)
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07