什麼是零信任?
零信任概念最早源自於 2010 年,由 Forrester Research 公司副總裁兼首席分析師的金德威格(John Kindervag)所提出。他體認到既有的安全性模式皆建立在「企業網路中的所有內容都可供信任」的過時假設上,因而提出了零信任概念。
而於 2019 年,Gartner 公司也將零信任列為安全存取服務邊緣(SASE)解決方案的核心要素之一。2020 年美國國家標準技術研究院(NIST)正式頒布標準文件 SP800-207 零信任架構,成為各界採用基礎,其中說明了:零信任網路以決策引擎為核心,包含「身分鑑別」、「設備鑑別」及「信任推斷」 3 大關鍵技術。
零信任安全模型的主要概念是「從不信任,總是驗證」,即使裝置已經連接到經許可的網路並且之前已通過驗證,仍不應預設信任裝置。
為什麼零信任如此重要?
在過去,網路安全多是基於物理安全的概念,舉例來說,防火牆和其他防護設備就類似於保護城堡的邊界護城河,能夠通過的訪客都是被絕對信任的,可以任意活動。但是隨著資料與服務雲端化、使用者行動化及存取設備多元化、遠距辦公需求增加,網路邊界防護變得更加困難,傳統基於信任邊界之網路模型(常見的內外網隔離)已難滿足資安與新形態工作需求,一旦有駭客或攻擊者突破了邊界防護,就能夠通暢無阻的隨意取得資料或散播病毒。
相較於從前傳統的網路安全,一旦使用者或設備被授予權限後,此權限就會永久或長時間被保留,可能造成資安風險,零信任則會持續監控使用者身分和行為,以及使用的設備是否具有適當權限,確保組織和企業能維持最佳安全等級。
Openfind 與零信任
針對零信任資安,Openfind 全系列產品與服務打破網路邊界防護的迷思,落實 3A 框架(Authentication 認證、Authorization 授權、Accounting 記錄),主動整合合規的第三方技術,與重要機敏客戶落實零信任網路的發展路徑。
在 Authentication 認證的部分,Openfind 在系統登入環節整合 FIDO 及生物辨識,並與全景 IDExpert 與 MOTP 等產品整合,加強登入認證的安全性與順暢度。Authorization 授權,則透過產品細緻的權限設計,達到最小範圍的存取與控制。Accounting 記錄方面,Openfind 全產品皆有完善且持續增加的使用及管理紀錄,清楚留下行為軌跡。後續亦將進一步與零信任架構供應商進行整合推廣,讓零信任架構可由裡至外清楚落實。
網擎資訊已有整合支援零信任網路身分鑑別系統部屬經驗,可彈性在地對應、快速整合!
- 鑑別聲明(session-key)驗證
- FIDO 整合
- 常用裝置
- 裝置綁定
- 異常登入 IP 警示與行為分析
- 登入 IP 限制
- MailMDR 情資
零信任與產業導入
政府機關 X 零信任
-
全球政經趨勢
- 美國國防部計畫於2027年完成零信任部署
- 日本數位廳於 2022 年針對政府資訊系統,發布零信任架構適用方針
- 新加坡發布「網路安全戰略 2021」,指出零信任策略是未來五年發展重點
-
資通法與政策指引
- 資通安全法明確規定
- 數位發展部部長唐鳳亦表示,推動零信任架構為 2022年 9 大施政重點之一
-
防範威脅及攻擊
- 針對政府機構的駭客攻擊、社交工程日漸嚴重
- 政府機構的敏感數據資料有可能因此被盜取
- 提高安全性,應對威脅,確保政府機構的運營和服務的持續性
» 了解更多 政府與公部門零信任與郵件安全解決方案
金融業 X 零信任
-
疫後轉型的資安挑戰
- 疫情調整營運作業模式,出現利用疫情發動的攻擊,如偽冒客戶聯繫居家辦公同仁進行詐騙轉帳等
- 數位轉型也讓金融面臨更嚴峻的資安風險,如 App、雲端服務、開放銀行、Open API、eKYC 等新興金融數位應用
-
金融資安行動方案 2.0
- 金管會於 2022 年 12 月 27 日發表金融資安行動方案 2.0
- 延續 1.0 版四大策略外,另增加了 14 項精進措施,包含鼓勵金融機構擁抱零信任架構,強化核心資料保全
-
網路威脅持續增加
- 資安事件頻傳,金融機構仍是攻擊者頭號目標
- 金融機擁有企業與個人大量資料,若網路安全或數據受到威脅,整個國家的經濟都會可能受到影響
» 了解更多 金融業零信任與郵件安全解決方案
零信任相關資源
金管會發布金融資安行動方案 2.0 ,引導金融資安持續精進
金融監督管理委員會
金管會鼓勵零信任網路部署,強化連線驗證與授權管控:因應疫情帶動異地/居家辦公模式,及資料與服務雲端化、使用者行動化、存取設備多元化…
《閱讀更多》資料外洩警訊:採用零信任架構,台灣企業的最佳選擇
產品經理 / 林怡辰
2022 年全球平均資料外洩損失達 435 萬美元,來到歷史最高點,一旦數據被盜取或洩漏,企業將面臨嚴重的財務和聲譽損失。零信任架構能…
《閱讀更多》掌握 2023 關鍵字:零信任、資安長、數位韌性?
PM 部門經理 / 賴濬倩
在充滿不確定性的 2023 年,企業與政府單位如何面對資安及新興議題?Openfind 在產品及服務上提供多樣的支援方式,以下將逐一分享…
《閱讀更多》把握零信任3A 資安溝通原則 ,讓電郵合規收發
產業觀察員 / 郭欣羽
面對眾多的新型資安規範,落實合規性已經是政府公務機關與企業須持續面臨的管理議題。那麼各產業該著重了解的方向和需求又在哪裡…
《閱讀更多》