跳過主内容

政府資安思維及策略大翻新,推動零信任網路化守為攻

政府資安轉型零信任網路,微軟混合雲模式助力持續驗證

網路安全轉型以零信任策略為基礎,已是加速實踐的共識。自從2020年美國國家標準技術研究院(NIST)頒布標準文件SP800-207、2022年直屬美國總統管轄的行政管理和預算局(OMB)發布「聯邦零信任戰略」以來,多國政府如歐盟、新加坡已陸續發表相關計畫。

而在台灣,則根據「國家資通安全發展方案」推動政府機關導入零信任網路,規劃在3年內分階段導入零信任網路的3大核心機制,包括身分鑑別、設備鑑別與信任推斷。2023年先聚焦在身分鑑別,除了遴選導入試行的機關,後續將優先推動A級公務機關逐步導入。

漸進改革的並存整合與前置作業

以國家資通安全研究院(簡稱資安院)對零信任網路所發布的定義來看,「主要目的是解決現今網路環境複雜造成信任邊界不明之資安窘境,期望透過對任何資料存取皆永不信任且必須驗證的原則,達成不論在何時何地存取資料皆保證一致安全性之相關技術。」

從舊有資安機制轉為零信任,不僅是思維的革新,更是技術架構的翻轉,但資安院特別指出,零信任的導入是持續且逐步成熟的過程,而非一次性大規模替換資安基礎架構。換言之,新舊資安機制的並存、既有應用系統的整合,都將是必然面臨的挑戰。

除了提供零信任網路的導入建議,資安院也負責執行產品功能符合性驗證,並提供合格廠商清單,以做為政府機關的部署參考。舉例來說,微軟在美國與NIST旗下的國家網路安全卓越中心NCCoE攜手開發實用且可互通的零信任方法和架構;在台灣則遵循資安院的規範,去年就申請身分鑑別產品的檢核與驗證,並於日前核可通過驗證廠商清單。依循計畫進度,微軟將陸續送驗設備鑑別產品、以及與資安院合作信任推斷產品的檢驗申請。

值得一提的是,微軟已與某中央層級的政府機關合作進行概念驗證,順利以 Microsoft Entra ID (原名Azure AD)結合存取閘道的架構,整合其重要資通安全系統之身分驗證,達成零信任在身分驗證環節的要求。

混合雲模式確保零信任順暢運行

根據在資安院驗證場域進行產品檢核及實測的經驗,微軟也歸納出政府機關推動零信任最常面臨的幾項挑戰,以及資安思維的必要改變。舉例來說,首要之務就是如何將所有資通安全系統全面改為強式身分驗證,以符合資安院在身分鑑別之要求。最相對無痛的方式,則是將地端網路及資通安全系統在內的既有驗證方式整併至零信任平台上之決策引擎,如此一來,就可在原本帳號密碼登入外,直接擴充至符合 FIDO2 的多因素認證。

第二個挑戰是決策引擎的延展性和負載能力,由於零信任存取授權之決策集中於中心化的決策引擎,決策引擎必須能在面對各種複雜的零信任使用情境下,依然維持其持續驗證之效率與效能。尤其在身分鑑別之後即將推動的設備鑑別與信任推斷,新增多道驗證程序下,例如:設備是否有最新版本的防毒與惡意程式防護,決策引擎的延展性將成為解決方案供應商之關鍵課題。

第三個挑戰則是決策引擎的可靠度,中心化決策引擎必然成為資源存取的關鍵單點故障(SPOF),除了平台的歷史維運紀錄需滿足至少99.9%的可靠度外,供應商本身的信譽及維運量能亦是關鍵。對此,微軟採用多年來廣受政府機關及民間企業使用的Microsoft Entra ID 做為決策引擎,過去 12 個月以來為5.5 億月活躍用戶提供平均 99.999% 的服務等級協定(SLA)效能(詳見:https://aka.ms/aadsla)。

為了克服延展性和負載能力的挑戰,以及進一步提升可靠度,雲端和地端並行的混合雲機制將是最佳解決方案。尤其在烏俄戰爭之後,各國政府對於採用雲端來提升IT韌性的想法也採取開放態度, Microsoft Entra ID併用AD 的雲地混和驗證架構,也成為目前廣泛被企業採用之選項。

零信任網路的持續驗證及強化

以身分鑑別做為推動零信任的起手式,透過混合雲模式,就能以Microsoft Entra ID做為橫跨整體政府機關部會的中心化決策引擎,建立單一驗證系統,除了納入無密碼與多因素等強驗證機制,微軟獨特的技術優勢就是在身分與設備之外,還可分別針對資料、應用系統、基礎架構等不同元件的存取進行鑑別。

而在設備鑑別部分,微軟的主力產品為Microsoft Defender for Endpoint與Intune。主要用於檢查設備在修補程式的更新、合規功能的啟用與潛藏的惡意程式,還能結合Microsoft Entra ID的Plan 2版本,以決策引擎最新的風險評估模型來執行信任推斷的功能。

零信任的實踐不只是合規產品的採購及安裝,更重要的是資安思維及策略的轉換。因此,除了產品,微軟也透過零信任成熟度模型和零信任導入方法論,涵蓋身分識別、端點、應用程式、網路、基礎架構與資料等各個面向,完整解說從傳統作法到進階、優化等不同階段,所必須達成的目標。

舉例來說,相較於傳統階段以帳號密碼即可登入,進階階段必須至少具備多因素驗證、條件式存取等機制,並採用 FIDO2 合規裝置來驗證使用者身分;到了優化階段,則是進一步運用雲端決策引擎,持續的判斷使用者存取行為是否異常,例如:凌晨三點登入或登入地點在俄羅斯,就會根據政策僅提供最低限度的存取權限。

過去的資安是YES/NO的判斷,以合規為前提來思考可做與不可做的事,但零信任的落實必須同時兼顧三項要件,也就是明確驗證、限制最低權限存取、假設有缺口。換言之,合規與否只是驗證的一環,主要目標應該是確保人、裝置、資料的存取都必須重重驗證。

每一次存取都必須被驗證有無風險,這種「持續性驗證」正是零信任的精髓所在,更是協助長期面臨駭客身分攻擊的政府機關,強化安全防護能力、主動抵禦潛在威脅的利器。

微軟對應資安研究院(前技服中心)推動的零信任網路三階段架構的建議解決方案

年度 零信任網路核心機制 微軟對應解決方案
111 身分鑑別:

以生物識別鑑別器進行無密碼雙因子身分鑑別

Enterprise Mobility + Security (EMS) E3
112 設備鑑別:

基於信任平台模組(TPM)之設備鑑別,並進行設備健康管理

Enterprise Mobility + Security (EMS) E3
113 信任推斷:

依設備健康狀態、資安威脅情資及使用者情境等資訊,動態支援存取決策

Microsoft 365 E5