- 作者 | Brandon Fang
零信任是什麼?企業採用零信任資安架構有什麼好處?
2022 年 8 月裴洛西訪台,總統府、國防部、台電等單位的網站遭受大量分散式阻斷服務(DDoS)攻擊,便利商店與台鐵看板也遭到內容置換(Deface),這些駭客的資安攻擊,都對政府與企業的網路安全帶來威脅與挑戰。
面對資安挑戰,數位部至 2023 年底,已將零信任架構(Zero Trust Architecture; ZTA)導入 20 個資安 A 級機關,其中包括經濟部、勞保局、公路局,預計 2024 年持續完成其他機構導入作業;另外,不僅僅是台灣,美國網路安全暨基礎設施安全局(CISA)與美國國防部也正持續推動的零信任架構發展。
零信任是什麼?
零信任是一種安全概念,核心原則是「永不信任,總是驗證(Never trust, always verify)」。
零信任架構的概念建立在「攻擊可能來自任何地方,因此每次請求都不應信任用戶和裝置」,也就是每次連接到系統的請求都必須加密,並經過身份驗證、授權,確保只有合法用戶才能訪問敏感資料和數據,同時也必須留下 log 紀錄。
零信任架構就像手機除了輸入開機密碼,也可進一步對通訊軟體、相簿等敏感資料設定第二層密碼保護,此用意即為預設 App 使用者非手機主人,即便手機在解鎖狀態下,也無法閱讀私人訊息或偷取私人照片。
零信任架構能防堵資安傷害擴大,如同即便小偷成功闖進大門,但你的皮夾、存摺、提款卡、證件全數保存在各自不同的保險箱,即便大門被闖入,但竊賊沒有每個保險箱的密碼,依然偷不走重要的資料,可將傷害降至最低。
如何實踐零信任架構?為什麼企業必須採用零信任資安架構?
3A 資安框架即為零信任資安架構的概念,其包含驗證、授權、記錄(Authentication、Authorization、Accounting)三個環節。「驗證」即不預設登入者為使用者本人,藉由FIDO、生物認證辨識,或是雙重驗證機制(2FA),來多重檢驗使用者身分;「授權」使用者最小權限,防止資料被不當取用,並在駭客入侵時,阻斷橫向威脅;「記錄」使用者操作足跡,在必要時,能追查「誰」在「哪裡」做了「什麼事」。
對企業而言,防火牆和防毒軟體已無法完全防範日益狡猾的網絡攻擊,而零信任資安架構除可降低資安攻擊的風險外,還可減少駭客在企業網路內部橫向移動的威脅。
以金融業為例,若只需帳號、密碼就能登入網路銀行,當帳密外流時,使用者資料就會外流。零信任架構預設登入者不為本人,而是加上指紋、虹膜等辨識,驗證使用者的生物特徵,或使用簡訊驗證碼,查驗登入者為綁定裝置本人;當使用網路銀行轉帳時,一般會收到簡訊驗證碼,也為預設轉帳人不為使用者本人的零信任概念,再次以簡訊驗證是否為本人裝置正在操作。
藉由零信任資安架構,企業將因層層驗證與授權有效防範資安攻擊,將傷害降至最低;導入零信任資安架構,企業不僅大幅減少資安風險,還能滿足法規要求。然而,零信任架構涉及多種技術,具備相當的複雜性,企業要實施時,應做好全盤規劃。
導入零信任資安架構的最佳幫手-digiRunner
昕力資訊的 digiRunner 採零信任資安架構,具可靠的身分驗證、授權機制,能確保交易與資料安全;digiRunner 也符合國際標準、金融檢查規範,無論金融、保險產業,抑或是政府單位,都能 100% 符合檢查規範。
此外,digiRunner 能全面性管理 API 生命週期,將 API 分類並輕鬆設定權限,能夠即時監控 API 環境安全,確保後端資料不外洩,防堵惡意程式與駭客入侵。
立法院在 2023 年三讀通過個資法 48 條加重罰鍰,情節重大者,將處 15 萬元以上 1,500萬元以下罰鍰。若企業因資安漏洞而流出個資,已不只是損害名譽,更須繳納巨額罰金。
如何保障使用者資料,並加強資安防護、降低被駭風險,已是企業重要課題。若您需要建立高安全性的零信任資安架構,歡迎聯繫昕力資訊,我們將免費為您提供專業諮詢服務。