新聞

零信任架構的提出者、Illumio傳道士John Kindervag表示，零信任的實施可以分成五個步驟，這些步驟目的在於在簡化安全流程，確保系統的每個保護面得到充分保護

網路安全成為全球戰爭核心議題，零信任架構可保護數位與實體資產

臺北市規畫分階段推動零信任架構，加速資安轉型工作，並研擬AI使用規範，未來建置主權算力擴大GAI應用，協助智慧城市治理

這幾年來，零信任成為當紅的資安概念，政府在2022年開始積極推動以三大核心要求組成的零信任架構，越來越多廠商提供身分鑑別、設備鑑別的解決方案，然而，供應信任推斷的資安產品與服務卻遲遲未出現，而在2024臺灣資安大會期間，我們看到終於具備這類功能的解決方案出現，曜祥網技、奧義智慧、中華電信這三家資安公司都能提供

微軟宣布零信任DNS安全技術，可藉由鎖定Windows PC只能連結受信任的網域，以確保用戶網路安全

近年我國積極推動政府零信任架構，並且首先重視決策引擎的建構，這一年多來，隨著「身分鑑別」、「設備鑑別」功能性符合性驗證陸續展開，關於整體考量規畫與促進產業鏈是否有初步成效，仍然受到大家的關切，近日我們也詢問資安院這方面進展，讓大家從5個問題面來瞭解政府推動上的考量與成果

近年數位發展部積極推動不分內外網的網路架構，零信任架構的身分鑑別，以及建立網站韌性，他們是如何做？在8月底舉行的數位政府高峰會上，該單位資訊處副處長周智禾公開了他們的實務經驗。同時，資安院副院長吳啟文也公布政府零信任架構推動的最新進展，第二階段「設備鑑別」即將有產品方案通過驗證

在我國政府零信任架構的推動下，已有多家國內廠商參與身分鑑別驗證，例如：來毅數位科技、偉康科技、臺灣網路認證，而他們對於身分安全領域的發展態勢，成為我們這次關注的焦點

臺灣政府2023年採取實質行動，從ZTA決策引擎的「身分鑑別」驗證做起，快速發布ZTA導入的共同供應契約標案，有了政府帶頭並展現決心，顯示政府往新世代網路安全策略推進，同時積極推動無密碼登入

過去曾擔任美國政府官員、現為趨勢科技技術策略長的David Chow，他特別公開了過去實施零信任架構的相關經驗，當中不僅分享他所面臨的挑戰，包括機構本身缺乏專業能力、可視性等，也公開了他當時的應對之道，包括從增加資安預算做起，並利用零信任架構來幫助自己建構組織的成熟度框架

企業在既有的IT架構下，如何著手建立零信任架構，專家從NIST SP800-207提出的7項原則、6項假設前提、10項網路需求，以及Google BeyondCorp、Netflix、微軟、國防部分享的實作經驗，剖析如何引導建立零信任網路。

多因素驗證（MFA）的發展已近20年，讓傳統密碼驗證多一層防護，值得關注的是，隨著這些年威脅態勢的演變，使得傳統的MFA形式被突破，因而鼓吹轉向更安全的MFA

身分識別成首要注目焦點，聚焦可抵抗網釣的MFA，其他領域也在探索ZTA可能性

Cloudflare宣布與微軟就零信任解決方案擴大合作，使共同客戶能夠無縫部署零信任工具，改進應用程式存取方便性

推動零信任轉型多年的Google，最近該公司難得在臺說明他們的零信任實踐原則，Google Cloud台灣技術副總經理林書平表示，他們的零信任是以身分作為存取控制的邊界，並聚焦在5大身分面向，包括：使用者、裝置、機器、服務、程式碼。此外，可信任軟體亦是根本，他並提及Google Cloud在安全軟體供應鏈的推動

原本受到Galileo以及Athenian專案保護的非營利組織與公益團體，現在可以免費使用Cloudflare零信任安全解決方案，抵禦網路釣魚等攻擊

美國國防部計畫採用3種行動方案來達到零信任，其中的Brownfield作法，要先建立零信任的基準線，再利用現有的基礎設施與環境來開發

資安廠商提倡的零信任，多半聚焦網路安全或是使用者信任關係，但在智慧工廠領域是否足夠？工業技術研究院資通所經理陳柏渝表示，他們提出多層次零信任的構想，共有10個面向，同時並解析了4個層面的因應之道

威強電的資安策略由小而大，8年前先導入ISO至核心系統，再擴大納入全集團系統，2018年更成立CSIRT來把關資安風險

Cloudflare宣稱Zero Trust SIM是全球首個基於零信任的SIM卡服務，採用eSIM優先策略可供大規模部署，避免員工造訪惡意網站，也能夠防範SIM卡交換攻擊，還能嚴格管控存取權限