【台湾企业应加强对于零信任的认知】迎接零信任时代！从盘点资产与资料流程着手

面对零信任的议题，随着各大资安厂商的推动，以及美国NIST SP 800-207的文件发布，台湾企业与组织也很关心此一发展，但现阶段应该要有那些认知呢？我们找来多位资安专家与业者来解说，由他们提出具体的建议。

NIST已界定ZTA问题范围，奠定未来实作方向

尽管零信任已经谈了很多年，但随着NIST SP 800-207文件发布，探讨并说明如何建立零信任架构（Zero Trust architecture，ZTA），对于ZTA迈向实务的发展而言，有很大的意义。

台湾科技大学教授查士朝指出，这份标准文件，不仅是提供美国-遵循的依据，也可作为日后各界讨论ZTA时，可以作为名词上的共识，创造同样的说法让各界去应用，而后续也会有相关的SP 1800系列的网络安全实作指南，提供ZTA的实务指引。

对于SP 800-207带来的益处，奥义智慧资深研究员陈仲宽指出，它确定了各方探讨零信任时的问题范围，包括提出了ZTA逻辑元件构成，以及部署情境与用例。

同时，此文件也提供了具体的作法。例如，针对迈向零信任的步骤提出说明，包含当ZTA与传统架构并存，以及在传统网络架构导入ZTA的步骤。因此，NIST不仅是提出具体的架构，也提出如何渐进发展为ZTA的方式。

此外，由于这是第一个由-研究单位发布的白皮书，与之前许多厂商提出的白皮书相比，NIST在各方面较为客观，而且，在SP 800-207发布后，主要零信任解决方案的厂商也都做了与该文件的对照。因此，其重要性不言而喻。

厘清零信任网络安全的含意，有助于与各方的沟通与讨论

虽然零信任议题当红，各界看重其可带动网络安全的提升，但我们实际看待“零信任”议题时，还是有些观念有必要先厘清。

举例来说，近年在资安界热议的零信任，不论是零信任模型，以及零信任架构，都是基于企业网络安全范畴而论。

然而，一般人在接收零信任的观念时，若不清楚有相关前提，就字面上的直觉念头，可能会认为这只是“采取全不信任的态度”，或是联想到“尽可能限缩被攻击的表面”，虽然部分概念上并没有错，但基于零信任的网络安全，其内涵并不只是如此，而这样的认知落差，就很有可能容易产生混淆。

另一方面，许多资安厂商都已呼应零信任，或是提出打着零信任旗帜的解决方案，当企业用户在看待这样的字词时，也可能容易有认知落差。

查士朝表示，现在很多产品号称与ZTA相关，但企业用户必须了解：这些解决方案是满足ZTA的哪些方面需求？

他认为，最简单的方式，可借由ZTA的5大关键元素来区分，包括最核心的存取控制、以及识别存取者身份、持续监控并视为存取控制依据，还有保护装置安全与限制存取范围，以分辨该方案所涵盖的面向。

换言之，这将有助于要导入ZTA的企业用户，能够理解各家解决方案对应到的环节，或只是某环节下的一部分。让企业在看待这些解决方案时，可以更有逻辑。

关于各厂商提出的ZTA方案，工研院产业与经济研究中心电子与系统研究组研究经理徐富桂认为，由于每家厂商作法都不太一样，企业用户需考虑自身环境与情境，才能有效去应用。

以Google的BeyondCorp为例，可支援云端、企业内部部署或混合式环境，其作法是用户需连至特定的网站入口（Portal），以浏览器界面为主，因此，不同于在端点安装代理程式（Agent）的方式。

而在政策引擎的设计方面，每家厂商做法也会不同，使用的AI、机器学习、自动化等技术，以及风险评估的机制，也会成为各厂商技术上的独到之处。

台湾企业多半对零信任还陌生，阶段式导入从掌握现况做起

现在是否为迈向零信任网络安全的最好时机？过去企业可能对于BYOD、云端应用与远端工作等，已采取各自的解决方案，但相较之下，基于零信任原则的网络安全架构，算是比较完整且全面，可视为增强网络安全架构的基石。

对此，查士朝表示，随着现在远端工作的议题，企业在考量远端工作时，顺便朝ZTA架构发展，其实是不错的时机点，但还是要看企业本身是否真的想强化网络安全。他另提到的是，美国国防部发表网络安全成熟度模型认证CMMC，此议题也很值得重视，是更具强制力的作法。

而对于台湾ZTA的发展现况，徐富桂表示，他在2020年举行的RSA大会上，已经看到不少厂商都有ZTA解决方案，国外这方面的发展算是趋于成熟，不过，他认为，台湾企业对于零信任网络安全的认知，目前是相对比较不足。

至于是否已有台湾企业开始朝ZTA迈进？徐富桂表示，已听闻少数新竹的中小企业开始这么做。

由于迈向零信任，并不是一步到位，究竟要花多久时间才能达到这样的终极目标？这并没有普遍的答案，就现阶段而言，该如何着手，是有意导入ZTA的企业可关注的焦点。

基本上，NIST SP 800-207已提供导入的步骤，当中提到企业可以先从评估开始，而就现阶段而言，我们如果要开始实践ZTA，有那些需要注意的地方？

戴夫寇尔首席执行官翁浩正表示，ZTA的重点可先放在资安管理：先清查有那些资产，再来做管理面的盘点，该公司事业发展经理锺泽华强调，在盘点过程中，还有个容易忽略的重要观念，那就是，必须要掌握业务单位的资料流，以了解现有的工作流程能否跟ZTA结合。

对此，奥义智慧陈仲宽同样指出这方面的重要性，他认为，了解企业资料怎么被应用相当重要──因为，企业过去较少针对存取路径的盘点，厘清之后，才能知道要在那些地方部署存取管控点，以监控到所有资源存取。而且，除了考量使用者的存取，现在企业内部有很多工作流程，其实是机器在执行存取行为，这同样要纳入考量。

综合上述说法，我们可以发现，企业在初期迈向零信任时，资料流的盘点可能是一大挑战。

零信任是一段旅程，企业须重新思考如何做到更严谨的资料存取控制

无论如何，零信任的网络安全策略，已经成为当今一大趋势，能够解决内网预设信任、降低资料外泄等问题，但要达到终极目标，也将面对一些挑战，毕竟，从现有的边界防护策略过渡到零信任网络安全策略，也需要渐进的导入过程，也难怪资安界常说推进到零信任将是一段旅程。

从攻防角度看零信任网络安全

企业该如何看待零信任网络安全策略？奥义智慧资深研究员陈仲宽表示，若对照安全模型Cyber Defense Matrix（CDM）的框架而言，零信任架构有助于整个识别与保护面向的强化。（图片来源／奥义智慧）

面对零信任网络安全，不只是降低资料外泄、解决内网预设信任等问题，从防御与攻击角度来看，也是资安与IT单位可延伸探讨的议题。

以防御观点而言，奥义智慧资深研究员陈仲宽表示，从安全模型Cyber Defense Matrix（CDM）来看，在这个5乘5的矩阵中，零信任所涵盖的范围，可说是整个识别与保护的面向，包含了装置、应用程序、网络、资料与使用者的范畴。他并指出，过去几年，资安韧性已成为许多研究单位重视的一环，其中NIST SP 800-160 Vol. 2 也陈述了如何从系统设计的层面，从早期就加强资安韧性。但所提的技术繁杂，有些互相呼应，有些相互冲突。而零信任架构则是在“没有隐性信任（Implicit trust）的主轴”下，可以实作资安韧性的方式。

而从攻击者角度而言，零信任网络安全也需与其他资安议题呼应。戴夫寇尔首席执行官翁浩正指出，在很多攻击事件或演练经验中，攻击方会绕过身份验证机制，依此思考模式，因零信任导入的机制，是否也可能成为骇客的新目标；同时，还要注意零信任实作面不足的情况，或是ZTA所信任的PEP可能被攻破，这些风险面将是管理上与软件供应链等资安议题的范畴。

 相关报导