第 16 屆CIO價值學院第一堂課 會後報導
隨著企業 IT 環境複雜化,使過去安全邊界不復存在,連帶讓傳統資安架構隨之過時,衍生許多意想不到的破口。為此自由系統協助企業導入零信任架構,降低混合模式下的資安挑戰。
文/明雲青
現在正夯的零信任,並非新概念,2003 年就有人提出「去邊界化」,為日後的零信任埋下伏筆。直至 2017 年 Gartner 提出 CARTA,讓零信任概念趨於成熟;2020 年NIST 發布 SP 800-207,更被視為企業實踐零信任的重要參考標準。
自由系統工程技術部副總經理趙之夏指出,零信任並非單一技術,而是眾多元素的組合,內含身分、應用程式、端點、治理政策、政策執行、威脅情報、資料、網路、基礎建設;其中最重要的環節是政策執行。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
談到零信任重點,首先應假設內外部的每一個點都可能是破口;其次每一個存取要求,都必須先驗證其對應裝置、使用者與存取請求的內容;再者其目標是要保護企業的重要資產。
零信任漸受重視源自於混合模式下的挑戰。據 IDC 2022調查,目前 94%企業計畫採用雲端服務,其中「混合雲」佔近 7 成;足見邊界觀念日趨模糊,傳統邊界範圍明確的防禦架構不再適用。於是資安人員面臨重大挑戰,他們不確定使用者是否為本人,不確定裝置是否安全且保持更新,不確定哪些設備連網、是否安全連線,也不確定雲端組態是否完善。再者,隨著雲端應用興起、BYOD風潮,以及急遽成長的遠距工作需求等,企業網路設備不再只受資訊人員控制,而是幾乎每個使用者都能輕易改變內網邊界範圍,導致人為疏失成為最大的資安隱患。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
解決上述難題必須實現涵蓋地、端、雲的零信任!趙之夏認為先回歸零信任根本,簡言之針對任何人想要存取某些資料,皆需確認他存取的理由是否合理,檢視重點包括是否符合最小權限原則,及存取時間/地點的合理性。
近年自由系統協助諸多客戶導入零信任,歸納專案成功關鍵要素有三。一是資安文化轉變,須由上而下推廣零信任意識。二是將身分驗證列為第一個落實項目,須依循混合式身分識別、明確驗證、最低權限存取、假設破口等準則。三是善用工具輔助,像是身分驗證,或應用程式和工作負載上的存取檢查,區分為網路端、設備端、資料端,端看實際業務需求來採用不同工具組合。
(本文授權非營利轉載,請註明出處:CIO Taiwan)