「零信任博士」的實踐觀察,揭示零信任挑戰與應用未來
「零信任架構」從理論到實踐,探索零信任如何成為企業與政府的資安必修課,解讀零信任理念的核心價值與實踐挑戰,深化企業資安基石
「零信任架構」從理論到實踐,探索零信任如何成為企業與政府的資安必修課,解讀零信任理念的核心價值與實踐挑戰,深化企業資安基石
零信任架構的提出者、Illumio傳道士John Kindervag表示,零信任的實施可以分成五個步驟,這些步驟目的在於在簡化安全流程,確保系統的每個保護面得到充分保護
臺北市規畫分階段推動零信任架構,加速資安轉型工作,並研擬AI使用規範,未來建置主權算力擴大GAI應用,協助智慧城市治理
這幾年來,零信任成為當紅的資安概念,政府在2022年開始積極推動以三大核心要求組成的零信任架構,越來越多廠商提供身分鑑別、設備鑑別的解決方案,然而,供應信任推斷的資安產品與服務卻遲遲未出現,而在2024臺灣資安大會期間,我們看到終於具備這類功能的解決方案出現,曜祥網技、奧義智慧、中華電信這三家資安公司都能提供
近年我國積極推動政府零信任架構,並且首先重視決策引擎的建構,這一年多來,隨著「身分鑑別」、「設備鑑別」功能性符合性驗證陸續展開,關於整體考量規畫與促進產業鏈是否有初步成效,仍然受到大家的關切,近日我們也詢問資安院這方面進展,讓大家從5個問題面來瞭解政府推動上的考量與成果
近年數位發展部積極推動不分內外網的網路架構,零信任架構的身分鑑別,以及建立網站韌性,他們是如何做?在8月底舉行的數位政府高峰會上,該單位資訊處副處長周智禾公開了他們的實務經驗。同時,資安院副院長吳啟文也公布政府零信任架構推動的最新進展,第二階段「設備鑑別」即將有產品方案通過驗證
在我國政府零信任架構的推動下,已有多家國內廠商參與身分鑑別驗證,例如:來毅數位科技、偉康科技、臺灣網路認證,而他們對於身分安全領域的發展態勢,成為我們這次關注的焦點
臺灣政府2023年採取實質行動,從ZTA決策引擎的「身分鑑別」驗證做起,快速發布ZTA導入的共同供應契約標案,有了政府帶頭並展現決心,顯示政府往新世代網路安全策略推進,同時積極推動無密碼登入
零信任網路(Zero Trust Networking,ZTN)與軟體定義式網路(Software Defined Networking,SDN)等相關技術,可能會徹底改變網路安全,以及資料的保護與共用。其中,透過企業基礎架構解決方案(Enterprise Infrastructure Solutions,EIS)的採購,可能得以讓美國聯邦機構取得上述技術。
針對想要導入零信任架構(Zero Trust Architecture)的IT管理人員而言,可能會面臨不知如何著手的情況,對此,美國國家標準暨技術研究院(NIST)發布規畫此類架構的入門指南,以快速綜覽的方式,介紹該單位推出的風險管理框架(NIST Risk Management Framework,NIST RMF),讓系統管理者能加以運用,來促進組織的零信任架構發展。
在NIST SP 800-207 ZTA最後的第七章中,陳述了ZTA導入建議步驟,是此文件的一大重點,如同一開始章節所述,導入ZTA是一段旅程,企業組織需要尋求一個漸進的方式,並以零信任與傳統邊界防護混合的模式進行,而這裡的第三章節就提出7大步驟說明
到了NIST SP 800-207 ZTA第六章,這裡主要論及美國聯邦政府既有指引與零信任架構運作的交互與關連