OpenText 提出完整零信任方案 訴求以簡御繁、快速建立身分鑑別架構

經過長時間的討論，OpenText在去年（2022）與Micro Focus達成收購協議，並在今年完成合併程序。OpenText Cybersecurity產品顧問邱裕翔指出，OpenText不僅是全球ECM（Enterprise Content Management）領導廠商，擁有EnCase舉世聞名的數位鑑識方案與OpenText Managed Services，亦是加拿大的最大Cloud Managed Services服務商，故可望與以往側重Off-Cloud業務的Micro Focus，形成良性互補。

長年深耕雲端業務的OpenText，深知現今許多企業在擁抱雲端後，面臨諸多資安挑戰，因此借重源自Micro Focus的資安管理強項，以整合式解決方案的型態協助企業建立NIST CSF資安架構，讓企業資安不再只是阻斷或控制，能夠帶動營運有機性增長。

邱裕翔說，不管談到NIST CSF或是有機性運作，顯然都需要立足在零信任架構（Zero Trust Architecture；ZTA）的基礎上，因此OpenText已將零信任解決方案列為現階段推廣重點。

單一窗口提供完整元件，加速打造身分鑑別架構

OpenText Cybersecurity產品顧問李昆龍表示，持平而論，零信任算是一種概念，而非單一產品，難免讓企業難以付諸實行，所幸2020年NIST發佈SP 800-207標準，透過明確的規範，總算讓ZTA有了可供遵循的指引。

但問題來了，不少企業看過SP 800-207內容後，依然有諸多疑惑，因為ZTA範圍大且複雜性高，意謂企業需要導入眾多品牌、眾多方案，才能完成ZTA佈建；若想階段性分批部署這些方案，那麼第一步該如何切入？接下來怎麼做？讓人不知所措。

鑒於此，臺灣政府於去年（2022）制定出政府零信任網路身分鑑別架構，意在將偌大的SP 800-207架構，轉化為循序建置的標準，等於幫助政府機關提綱挈領，先集中火力打好身分鑑別基礎，再逐步擴展到設備鑑別、信任推斷等其他環節。而政府訂定的零信任網路架構（ZTN），包含決策引擎、身分鑑別、決策控制、存取閘道、資通系統（RP）等關鍵要素。

「儘管已針對SP 800-207原始內容有所聚焦簡化，但仍然困難重重，」李昆龍說，各機關要建置策略控制器、鑑別聲明伺服器，需要分別找尋不同方案，再針對存取閘道，依照既有資訊環境找尋適用的認證管理系統加以滿足，接著為了要整合RP，還需要做很多客製化，整體來看複雜度相當高。

此時OpenText可扮演關鍵要角，幫助機關甚至企業以最快速度實踐零信任。OpenText認為要落實零信任，重點不在物體、而是在人，若能從人的角度來思考零信任導入的優先順序，就能更有效率地達到目標。OpenText的零信任身分識別方案即是建立在這般基礎上，以人所代表的身分識別、所需存取的應用系統為目標，落實遵循政府定義的零信任架構。

最重要的，透過OpenText單一窗口提供完整的零信任架構，可發揮化繁為簡功效，並能協助用戶以彈性化的識別政策，快速滿足決策引擎、身分鑑別、決策控制、存取閘道和RP等五大要素。

深具可維護性與應變彈性，充分順應未來法規異動

李昆龍進一步解釋，因零信任架構浩大繁複，在大多數情況下，用戶只能採取「1/3找A廠商、1/3找B廠商、1/3找C廠商」異構模式，實現大約趨近實現ZTA建置目標；反觀OpenText解決方案長遠來說可以全面滿足前述五項要素，OpenText大部分核心的ZTA元件其實原來就早已存在有些甚至已經邁入第五個版本並非特意為了ZTA而東拼西湊出來的。

他形容OpenText解決方案好比變形金鋼，可部署於雲或地，甚至在雲地之間同時並存，擁有極大彈性。而OpenText除憑藉既有產品來組建零信任系統外，為迎合政府ZTN架構運作，另外也依據政府定義的介接規範透過的API Gateway以標準的Sample Code來整合現行的RP系統，方便用戶不用依循SAML標準、費時改寫大量程式，而是在維持程式現狀下，讓RP能透過API符合安全架構規範的前提下取得鑑別聲明以存取RP系統。

邱裕翔補充說，不論政府機關或民間企業，難免存在許多年久失修的Legacy系統，甚至有成百上千支之多，若逐一改寫，肯定曠日費時；足見將原先ZTA繁冗艱澀的SAML架構設計流程，轉換為API呼叫模式，確實有助加快導入進程，堪稱政府ZTN架構規範的亮點。再者因零信任採取間接存取方式，讓大量Legacy系統都被隱藏在認證管理系統之後，從外面看不到，存取透過風險引擎把關，即便用弱掃也掃不到，可讓安全風險降到最低。

事實上，身分鑑別僅是政府ZTN架構的第一階段目標，後續還有第二、三階段的建置計畫，最終不僅要鑑別你的身分，還會綜合鑑別裝置、時間、所在位置…等其他條件，若其中有任何條件不匹配，例如雖然你的身分鑑別過關，但你可能換了一台裝置，或在公司外部、或在非上班時段發起存取請求，都視為條件改變，此時零信任系統會要求你執行更多驗證手續，抑或直接拒絕你的請求。這也意謂著，現在基於身分鑑別目標所打造的架構，日後仍需調整與擴充。

因此若是以拼湊方式硬刻出來的架構，可維護性偏低，恐使未來應變之路備極艱辛。反觀OpenText零信任方案完全立基在現有產品，不是臨時硬湊出來的，而且像變形金鋼一樣，容許各項元件彈性拆解或合併；因此不管日後推進到政府ZTN架構的第二、三階段，甚至邁向完整的SP 800-207架構，都具有充分的銜接性，足以讓用戶可長可久地遵循零信任標準。