John Kindervag呼籲導入零信任架構刻不容緩 防堵惡意威脅入侵不二法門

零信任架構不能仰賴單一產品，而是需透過思維、策略與工具之間搭配，才能達成預定的效果。面對駭客持續擴大攻擊範疇，John Kindervag殷切呼籲政府與企業加速導入零信任架構，才能有效因應無所不在的惡意威脅。

隨著企業對公有雲服務依賴日深，加上全球進入混合工作模式的後疫情時代，導致資安防護邊界變得模糊，也代表以閘道端防護為主的傳統資安防護機制，早已難以因應日益複雜的駭客攻擊手法。尤其惡意程式在 AI 技術加持下，過往使用多年的帳號與密碼機制，已無法確認用戶、設備的身份是否遭到偽冒，因此強調永不信任、持續驗證的零信任機制，已成近來資安防護市場的主流。

專程來臺灣參加由臺灣資安科技研究中心、國家資通安全研究院、國立臺灣科技大學資通安全研究與教學中心及叡揚資訊所共同舉辦的「零信任架構的趨勢、規範與實作案例研討會」，身為零信任架構提倡者者暨  Illumio Chief Evangelist John Kindervag 說，近幾年我們持續面臨前所未有的資安威脅，因為在新世代的網路環境中，駭客組織隨時針對任何目標直接發動攻擊，而零信任架構正是因應複雜資安威脅挑戰的最佳解方。以美國為例，因應駭客頻頻針對公部門、關鍵基礎設施發動攻擊，嚴重影響到國家的正常運作，2021年5月12日美國總統拜登下達改善國家網路安全行政命令，要求美國聯邦政府需制定零信任實施計畫，藉此維持國家的穩定運作。

「零信任架構的趨勢、規範與實作案例研討會」當天出席人數超過  170 人。前排左起金管會資訊服務處林裕泰處長、臺灣科技大學資訊管理系主任兼資通安全研究與教學中心查士朝主任、Illumio Chief Evangelist John Kindervag、國家資通安全研院林盈達副院⻑、叡揚資訊資安直屬事業處范家禎處長。

臺灣科技大學資訊工程系主任暨臺灣資安科技研究中心計畫推動辦公室計畫主持人 鄧惟中指出，臺灣將「資安即國安」列為國家重大政策，國科會透過成立國家級資安科技研究中心（Taiwan Academic Cybersecurity Center，TACC），藉此厚實臺灣資安科技自主研發之基礎，其中也包含零信任架構。我們將針對零信任架構研發存取控制技術與全同態加密（FHE）等技術，期盼協助產業在管理與工程面實現此架構，保護重要數位資產的安全。

五步驟導入零信任 首重定義保護面

過去10多年來，儘管企業不斷擴大在資安領域的投資，但仍然無法達成預期目標。根據研究報告指出，惡意威脅躲藏在企業內部的時間有增無減，甚至許多公司是在資料被竊取長達數年之後，才被外部資安公司告知遭到駭客入侵，損失商譽與商業機密難以預估。此類事件頻傳的關鍵，在於企業採用的資安管理機制不佳，以至於無法掌握惡意程式入侵的過程與時間點。

John Kindervag在 2010年提出零信任架構時，是從一開始就拒絕任何的存取，並根據連線設備的身份與請求，給予相對應的存取權限。如此一來，若企業真的不幸發生資安事件時，也能將受害程度控制在可以承擔的範圍，這是當初設計零信任架構的初衷。如同在企業的整體營運策略中，都會量身制定一套應對危機的處理原則，藉此將突發事件衝擊降到最低。而藉由零信任架構協助，可避免發生資安威脅入侵而不自知的憾事。

由於零信任架構已成為防堵惡意威脅入侵的最佳方案，John Kindervag也提出導入建議組織可從定義保護面著手，再透過工具繪製並了解各系統種溝通流向狀態來建構零信任環境、進而制定零信任政策、持續性的監控和維護等步驟強化資訊安全保護。畢竟每個企業的環境不同，對於資料、應用程式、資安、服務等要求程度差異也極大，明定不同服務的保護等級之後，才能更貼切的制定符合企業實際需求的零信任架構。

臺灣科技大學資訊管理系主任兼資通安全研究與教學中心主任 查士朝表示，組織在推動零信任架構時，應該要進一步考慮「檢視信賴假設」、「強化可信度」、「控制措施的韌性」等三大因素，並且針對實際狀況持續進行優化，才能找到最佳的部署方式。

零信任架構成敗與否 最高主管扮演重要關鍵

零信任架構是一個可不斷循環建構的過程的策略方針，企業可以採用五步驟逐步落實，在過程中會針對環境持續優化政策，John也強調應該把零信任文化變為企業持續營運的資安文化。

鑑於全球紛紛建立國家零信任網路安全戰略，行政院除將資安列為國安之外，也開始發展零信任網路資安防護環境，推動政府機關導入零信任網路，藉此完善政府網際服務網的防禦深度與廣度。

國家資通安全研院副院⻑ 林盈達說，因應公務機關逐年導入零信任網路的需求，我們積極推動廠商開發符合政府零信任網路部署架構、部署原則及核心機制之商用產品， 以因應後續A級公務機關之導入。目前已經有接近20個產品通過驗證，希望藉此作爲公務機關導入時的參考。

「2022年底金管會所公佈的金融資安行動方案2.0版中，重點之一即是鼓勵金融產業部署零信任網路，強化連線驗證與授權管控。」金管會資訊服務處處長 林裕泰解釋：「我們希望透過鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制，搭配網路及資源的細化權限管控，以更能因應後疫情時期及數位轉型之資安防護需求。」

John Kindervag指出，零信任架構是一個不斷循環建構的過程的策略方針，組織無法單一透過購買解決方案實踐達成此目標，而是必須將思維與方法逐步落實才可能成功。臺灣政府、金融機構等，不妨可參考前述的五大步驟逐步落實，其次亦必須獲得最高階主管的支持，如總統、民間企業的董事長等。最後，零信任架構部署初期規模不適合太大，應該從小規模進行驗證與優化，最後再逐步拓展到整個組織之中。

榮獲 Forrester Leader 象限、Gartner Peer Insights 獲得4.5顆星肯定的Illumio，其所推出的網路微切分技術，是企業實現零信任安全的最佳選擇，Illumio能妥善保護網路免受網路攻擊和資料洩露威脅，並提高網路的可見性和可管理性。 叡揚資訊代理Illumio多時，有經驗豐富的專業團隊，協助客戶導入Illumio解決方案。為臺灣企業打造網路零信任架構首屈一指的最佳夥伴，透過叡揚資訊專業的協助，帶領企業在零信任部署中打造穩固的基石。