近年來,資安領域興起一個炙手可熱的概念─零信任(Zero Trust),這個名詞已經在網路上廣為人知,並且正成為當今資訊安全的熱門話題之一,為什麼會有此一現象呢?其主要原因在於零信任架構在現代數位世界中的重要性已越發顯著,隨著雲端服務的普及與不斷增加的遠端工作者,再加上日益複雜多變的威脅層出不窮,傳統的安全防護模型已不足以應對。
2021年,行政院國家資通安全會報發布《國家資通安全發展方案》,政府機構也正在積極導入零信任架構,相關機制強調了A級公務機關在身份鑑別、設備鑑別和信任推斷方面的優先推動目標。
究竟什麼是零信任架構(Zero Trust Architecture)呢?
零信任架構並不是指一個特定的產品,而是一種關於網路安全的基本理念和架構。它的核心思想在於「永不信任,始終驗證」,這意味著無論是用戶、設備還是應用程式,不論其身份或位置如何,都必須在訪問資源之前經過嚴格的驗證和授權。
在零信任安全模型中,有三個基本的驗證要素:
身份驗證: 確認使用者真實身份的第一步,傳統的用戶名和密碼驗證方式在零信任模型下可能會變得不夠安全,因此多重要素驗證(MFA)變得非常重要,這有助於限制潛在的攻擊者。
設備驗證: 在零信任環境中,不僅要驗證使用者,還需要確定設備的安全性,這可能涉及硬體安全金鑰、生物特徵識別、移動設備的安全性,或者使用虛擬私人網路(VPN)等方式,將設備連接到系統驗證,以評估設備是否安全,防止內外部威脅對資源造成損害。
權限控制: 驗證成功後,使用者只能獲得執行其工作所需的最低權限,而不是開放式的訪問,系統會根據使用者的身份和需求,給予相應的訪問權限。
強調驗證和授權的新時代,零信任的崛起
隨著零信任架構的崛起,又再次彰顯資訊安全的重要性。這種新的取向不僅強調持續驗證和授權的必要性,還時刻提醒使用者保持警惕,因為網路攻擊者不斷尋找新的弱點,嘗入侵系統、竊取資訊,因此定期執行弱點掃描也起了關鍵作用,能夠即早發現並修復可能存在的漏洞,進一步增強系統的資安防禦。而導入OKWASP弱點檢測操作管理系統,更可以高度的效率執行例行的弱點掃描工作,讓有限的人力可以應對零信任時代所面臨的風險。