在我國政府大力推動零信任之下,我們樂見政府在網路安全策略積極行動,重視這樣的資安界潮流與國際趨勢,但我們也憂心,在目前的政府零信任架構規畫上,只從打造零信任架構的決策引擎、從身分鑑別一項開始,足夠嗎?
這幾年我們整理零信任架構進展時,看到美國網路安全暨基礎設施安全局(CISA),以及美國國防部提出相應藍圖。例如,在CISA提出的零信任成熟模型中,是從五大支柱做起,包括身分、裝置、網路、應用服務及工作流、負責,分別定義4種階段的成熟度供評估參考。
美國國防部在今年1月提出自身單位的「零信任能力執行路線圖」,當中擬定將從7個層面做起,包括:使用者、裝置、應用程式與工作流、資料、網路及環境、自動化與協調、可視性與分析,並預計要到2027財年,才會達到零信任架構最基本的基準線。
而且,我們從目前共同供應契約的零信任採購項目來看,有些廠商在標案中提供的產品,可說是包山包海的資安類型產品。
對此問題,大型資安廠商怎麼看待?出身臺灣的國際資安廠商趨勢科技認為,雖然市場上喊出零信任解決方案,但大家在推動零信任架構時可以有一個觀念──零信任是一個框架、是一個概念,不要將零信任架構定位成特定解決方案,要用概念的角度去看待,一步步從各層面去強化成熟度。
趨勢科技台灣區暨香港區總經理洪偉淦表示,臺灣從身分識別開始做起,並不是壞事,因為我們很難一開始就設定完美的架構,或是一開始就有很大筆的預算,能夠用來完成所有的事情。
但要注意的是,對於零信任架構推動,美國NIST提到要兼顧可用性與安全性,因此,不要為了符合零信任,而去刻意做一套很特殊的系統。再者,用戶對於既有設備不要重複投資,應選擇從最關鍵的地方開始做起,全面去做,可能會變成不分輕重緩急。
過去曾擔任美國政府官員、現為趨勢科技技術策略長的David Chow也指出,從美國的推動經驗來看,聯邦政府曾遇到很大的挑戰,因為導入時間很長,根本無法符合白宮要求,而能在短時間內達一定目標。這也顯示出,零信任不是一件容易的事。
但David認為,美國政府有個作法值得借鏡。政府將零信任架構整個框架宣布後,主要是給出一個大方向,接下來就是讓各個聯邦政府去制定組織計畫,之後再交由政府來確認,是否可以符合框架的目標,再撥放預算供組織來發展。
他認為,美國提出的這些策略其實很多都是風險評估──從風險評估角度切入,掌握需要保護的資訊,從成熟度角度看起,在不同面向提升。
例如,美國聯邦政府在2005年啟動個人身分驗證(PIV)計畫,要求員工使用智慧卡(Smart Card)進行身分驗證,後續也衍生PIV-D憑證,因此早就有MFA的機制存在。當組織本身已經有這方面機制,可以繼續用來符合零信任架構,這時就應該把錢放在刀口上,做風險評估,看哪些面向是有效提升其成熟度,並且能夠符合零信任架構所需。
洪偉淦也強調,具體實踐就是要從零信任架構的概念,一步步疊加上去,因為我們的預算不可能是無限的,只能一步步做好疊加的動作,但重點在於,疊加的東西需要能夠彼此配合,相容性要疊得出來,才能夠做到真正的整合。
畢竟,企業實際導入還會考量成本,以及是否影響日常營運,操作是否會變得困難,若是如此,導入順序也會一直被遞延。在此考量之下,零信任架構才有辦法一步步往前推動。
專欄作者
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19