【趨勢名人堂】鼓勵台灣企業建構零信任網路 強化營運韌性

微軟全球助理法務長及台灣微軟公共暨法律事務部總經理 施立成

全球疫情爆發以來，網路安全的複雜性可說是前所未見，雖然企業面臨資安威脅的偵測與應變能力較過往大幅提升，但駭客的攻擊手法也正持續演變。從Nobelium和Hafnium發動大規模資安攻擊，及重大基礎建設遭到勒索軟體攻擊的事件，不難看出攻擊者的協調能力與技術都更加純熟，網路安全和企業IT部門的工作對於國家、區域之間甚至全球的安全更顯重要。

為保護全球數千個端點的網路安全，微軟結合通訊技術、專家知識以及各單位協同合作，並將零信任網路視為微軟零信任計畫（Zero Trust Initiatives）的重要環節之一，而零信任網路的重點在於，從設計到終端使用都須徹底排除網路固有的信任機制。

為修正安全機制的作法以確保位於任何地點的人員、裝置、應用程式和資料獲得完善的保護，微軟的零信任網路架構以網路元件為基礎，並徹底改變了過去20多年來的網路基礎架構運作方式，不再使用組織內部網路，改以雲端服務作為裝置互相聯絡的網路架構。對此微軟呼籲企業，雖然安全性固然重要，但仍須考量組織業務的生產力，並於兩者之間取得平衡，以確保連線的透明度，同時也須掌握實作零信任網路對使用者帶來的影響，以確保員工不會遇到工作停擺或作業中斷等窘境。

首先，「規畫」為企業轉移至零信任環境的首要任務。以微軟自身為例，整體營運體系中存在著相當高的複雜性；微軟網路涵蓋超過100萬部裝置，負責支援20萬名以上的員工和合作夥伴，皆須運用高度策略化的規畫方法，才能順利移轉至零信任環境。

微軟率先統整組織內部的人員和功能小組，以確保零信任計畫能獲得應有的重視，並建立專屬的部署計畫，協助員工和合作夥伴在無須大幅改變原有工作模式的環境下，自然而然地採用新的網路設計和使用模式。而為了訂定符合現況的計畫，更將大型目標畫分為幾個易於達成的小型目標，這樣不僅有助於完成工作，還能找出大型目標可能面臨的難題。例如採用階段式部署，搭配環形模式亦即先從規模較小、易於掌握且可確實反應目標族群成效的範圍著手，累積更多的經驗和信心後，再擴大部署範圍。

在企業完成規畫後，即可開始「實作」零信任網路。微軟零信任計畫的團隊積極建立網路存取權限、實作原則、區隔網路，逐一將不同的業務單位或不同地區的團隊加入至零信任網路模式中，在進行實作的過程中，同時協助員工和合作夥伴了解零信任網路的實用性。另應花費心力觀察、與各地IT團隊溝通每個實作階段的詳細資訊和挑戰，儘管零信任網路為實現零信任計畫的重要關鍵，企業整體的協同合作和採用情況也有著同等的重要性。

最後，企業應結合現有的系統與工作流程，以配合零信任網路部署所要求的大小和規模，而在評估規模時，也應同時思考IT現代化計畫，並考量是否要結合兩者以建構更完整的方案，或讓兩者各自運作。讓舊有技術符合零信任規範絕非易事，微軟期望企業盡可能採用專為零信任網路打造的解決方案，因為舉凡身分識別、裝置、應用程式、資料和基礎架構等項目，都與零信任計畫息息相關，而在組織內，所有項目都必須準備就緒，才能讓零信任計畫得以順利運作。

本文轉載自經濟日報報導