2022年度CIO大調查發表會會後報導
近幾年「零信任」成為最熱門的名詞,這是源自於2010年 John Kindervag 提出的零信任概念,訴求信任邊界不存在,內部網路並沒有比較安全。企業若要建立零信任環境,應該要從使用者的零信任、應用程式的零信任、架構的零信任等三個角度,以及身份辨識、裝置辨識、存取權限、網路流量等四個面向著手。
[ 2022年度CIO大調查報告下載 ]
隨著全球對零信任議題非常關注,NIST為此做出完整定義,在 NIST SP 800-27 中指出,零信任是一種專注於資源保護的網路安全範例,其前提是信任永遠不會被授予,且必須不斷評估。而零信任提供一系列概念和想法,用來最小化在面對被視為受損的網路時,需資訊系統和服務中執行準確、每個請求的最小權限存取。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
零信任架構是一種端到端的企業資源和資料安全實現方法,包括身份(個人和非個人實體)、憑證、存取管理、操作、端點、託管環境和互連基礎設施。零信任架構是企業的網路安全計劃,是利用零信任概念,針對各組件間關係、工作流等規劃一套完整的存取政策。
「進入5G行動網路時代之後,零信任架構將更為重要。雖然5G具備高頻寬、大連結、低延遲,但也有缺乏網路可視性 ─ 流量通訊均為封裝傳送、不易識別遭感染/受損的使用者終端裝置,以及無法在裝置層級達成可視性與資安實現,且難以阻擋對行動核網的攻擊等三大額外資安挑戰。」中華資安國際協理王信富解釋:「中華資安國際的技術及經驗,可協助金融安全評估、紅隊資安檢測、藍隊驗證、MDR資安監控、即時事件回應等專業服務,搭配中華電信5G專網,以及自主研發『MEC 5G 智慧管+』,能與企業合作進行5G應用服務場域實證。」
面對接連不斷的資安威脅,企業應確實執行資產盤點、提升端點/網路可視性、監控不同階段的駭客攻擊活動,搭配管理制度,就能有效控制資安風險。此外,企業業可針對使用者、應用程式以及架構重新審視企業個組件間關係、工作流規劃和存取政策,建立零信任架構以及營運政策。
中華資安國際建議企業可從自身需求出發,評估執行零信任安全區域架構設計、零信任遠端存取、落實資安弱點漏洞管理,以及建立雲端原生應用服務防護平台等行動方案。(文/林裕洋)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
