從技術面實踐金融資安行動2.0，倍增金融業資安韌性

善用公有雲支援第三地需求，強化應變復原及部署零信任網路

以安全、便利、不中斷的金融服務為願景，金管會於2022年底發布的「金融資安行動方案」2.0持續精進金融韌性，考量全球資安新威脅和後疫轉型新風險，提出了擴大適用、落實與深化、鼓勵前瞻等行動方向。

與技術面最直接相關的精進重點，包括深化核心資料保全及營運持續演練、鼓勵零信任網路部署以強化連線驗證與授權管控。值此同時，正在進行中的金融業可望放寬境外公有雲及簡化申請核准程序，對於前述的兩項精進重點，也將帶來更具彈性與效益的對策。

核心資料保全的新思維

在主要機房30公里以外的地點設置異地備援機房，是金融業長期以來的必要措施。但耗費鉅資建立的實體機房每年僅進行數次備援演練，週期性面臨機器老舊汰換的問題，若再加上金融購併等外部因素，也會導致機房負載不足的窘境。

值得注意的是，在烏俄戰爭爆發之後，地緣風險的考量躍居檯面，以台灣所處的態勢來看，在異地之外的第三地建立備份備援機制，不僅是確保金融韌性的必要措施，也是金融業資訊長及高階主管關注的課題。

公有雲因而成為第三地的理想選擇。以Microsoft Azure為例，在全球擁有最多數量的機房，台灣機房也即將落地營運，為金融業提供了最彈性的第三地選項。相關費用也同樣具備彈性優勢，平時僅需支付儲存費用，在備援演練或實際自動切換時，才會展開環境並根據使用的運算資源計費。

至於金融業主要使用的備份軟體品牌，Azure亦已完成整合，無需更動現行的備份機制，就能將已經刪除重複數據的地端備份直接複製到雲端；此外，微軟正在測試的Skytap可將IBM P系列、i系列的伺服器移轉至Azure，顯見對金融業既有IT環境的完整支援。

針對災難演練的需求，協力廠商的備份軟體亦提供相關功能，可將包含虛擬機器在內的備份還原至Azure。Azure本身提供的自動化災難復原服務Azure Site Recovery（ASR），不僅可在企業營運有狀況時，自動切換至雲端以確保營運不中斷，平時也可藉由這項服務進行封閉的備援演練。

以雲端建立高可用性機制

除了以公有雲建立第三地的備份備援機制，事實上，在海外擁有分行的金融業者早已運用公有雲來建立高可用性（HA）架構，強化海外據點的營運韌性。舉例來說，新加坡規定境內的海外分行必須有HA機制，但在當地建實體機房是高昂的投資挑戰，替代作法是以Azure建立HA機制，一旦地端系統有問題就自動切換至雲端，雖然這個作法必須隨時將運作環境展開，但RTO和RPO的時效性會更好，也更符合HA的要求。

無論是備份備援或HA，Azure的獨特優勢就是可以針對不同等級的RTO和RPO需求，提供相對應的解決方案。包括最基本的Azure Backup服務，或是將使用多年的備份軟體延伸至Azure，以及搭配Azure自動化的災難復原服務，跨地區快速進行復原。

針對應用程式的高可用性，除了在雲端沿用金融業在地端對微軟產品如Windows Server、SQL Server的投資，Azure本身亦是整合最多第三方軟體的公有雲。像是許多銀行所使用的VMware，就能透過VMware on Azure的版本直接執行vMotion，將地端的虛擬機器直接轉到雲端的VMware，轉移速度快且應用程式的IP位置甚至無需變更。Red Hat的OpenShift同樣有Azure版本，也擁有和VMware相同的高相容性。

換言之，Azure對金融業在技術方案的豐富支援，可為第三地的作法帶來更多可能性。例如：在台灣已有異地機房保存第二份備份時，企業可選擇將第三份備份放在Azure海外機房，避免重複投資之外，也是因應區域衝突的預先部署。

甚至部分金融業者正面臨異地機房的機器老舊或汰換課題，相較於持續投資在成本高昂的實體機房，可考慮轉而將第二份備份保存在Azure即將於台灣運行的機房，並藉此將第三份備份延伸存放至Azure的海外機房。

零信任網路的超前部署

在「金融資安行動方案」2.0裡，零信任網路被列為鼓勵前瞻的項目。已經展開行動的「國家資通安全發展方案」對政府機關導入零信任網路的推動作法，就成為金融業主要的參考方向，預料將同樣遵循並建立身分鑑別、設備鑑別與信任推斷等三大核心機制。

必須注意的是，零信任網路的架構複雜，除了改變資源存取方式、人員存取規劃，同時必須串接內部系統，政府方案就是以三年為期來推動，金融業也已意識到其複雜度而提早行動。

國家資通安全研究院（簡稱資安院）提供詳細的步驟指引和相關的產品驗證。第一步先建立身分的持續性驗證，第二步建立設備鑑別以驗證設備的健康度，第三步則是以風險為基礎的模型，由機器推斷是否提供使用者存取權限或採取更嚴格的驗證措施。

微軟在美國與NIST旗下的國家網路安全卓越中心NCCoE攜手開發實用且可互通的零信任方法和架構，在台灣則於去年申請身分鑑別產品的檢核與驗證，近期可望取得資安院認證核可，設備鑑別和信任推斷產品的送驗也在陸續進行中。

微軟的獨特優勢在於提供整合性平台來簡化零信任的部署，企業內部系統只要遵循相關步驟微調程式，就能將驗證機制統一轉移到微軟的平台執行身分驗證、設備驗證等功能，一旦使用者通過驗證，由平台發送訊息給系統以核准使用者的存取。

Azure在此也扮演了不可或缺的角色。以地端平台執行零信任判斷，一旦延展性和穩定性出問題，必將影響所有系統無法存取，此外，平台本身也必須從無到有建立安全防護機制；相對地，雲端資源可確保平台的延展性和穩定性，還能由微軟協助強化平台的安全性。

隨著金融上雲及委外規範的逐步開放，金融業運用雲端的能力將等同於競爭力的一環，從備份備援與災難復原、高可用性機制到零信任網路，結合公有雲的應用，將可協助金融業加速落實「金融資安行動方案」2.0，持續精進營運韌性。

熱門新聞