這一年來,政府積極推動零信任架構實踐,根據去年技服中心(現已併入國家資通安全研究院)的規畫,我國的政府零信任架構聚焦決策引擎、存取閘道的打造,從身分鑑別、設備鑑別、信任推斷這三大核心,依序做起,以利未來的動態身分存取管控,做到持續驗證,因此,身分鑑別就是2023年最主要的推動目標。
尤其政府近年強調厚植臺灣資安產業自主研發能力,因此,在零信任架構的推動上,預告將結合政府網路向上集中防護需求,採取資源門戶的部署方式,也參考美國國家資安卓越中心(NCCoE)作法,推動國內廠商能積極參與開發,以及整合出能符合政府零信任架構需求的解決方案。
如今,這項計畫有11家廠商的身分安全產品,通過「身分鑑別」功能符合性驗證,當中有8個是基於本土廠商的產品。
以臺灣資安廠商而言,精研身分安全技術而入選的業者不少,我們找來其中3家現身說法,瞭解國內廠商在身分安全技術的產品發展,以及如何看待政府零信任架構推動下的商機。
圖片來源/國家資通安全研究院
去年臺灣政府零信任架構成形,同時推動商用產品符合NIST零信任架構,規畫採取資源門戶的部署方式打造決策引擎的三大核心機制,同時提出完成零信任登入流程,其中身分鑑別產品驗證是最先啟動的一環。
來毅數位科技:臺灣推動身分安全時機剛好,其實不算太慢
首先,在2012年成立的來毅數位科技(Lydsec,原名來誼數位科技),他們的發展相當特別。
該公司董事長林政毅表示,他們最早的發展可追溯至1987年,家族長輩Maw-Tsong Lin在瑞典創辦的Todos,當時就是專注於身分安全產品,開發可產生OTP碼的硬體式網路身分認證產品,不論是可獨立運作,或是連接電腦、整合讀卡機、按鍵式等幾十款產品,直到2010年Todos被當時的Gemalto收購。
2012年後,他們注意到行動裝置普及的態勢,繼而開始聚焦於軟體式網路身分認證產品的發展,一方面,Maw-Tsong Lin在瑞典成立Keypasco公司,另一方面,林政毅也在臺灣成立來誼數位科技,雙邊共同研究發展這方面的解決方案,並在全球16國銷售Keypasco系列產品,2016年改名為來毅數位科技,2019年他們併購Keypasco的資安業務。
關於政府推動零信任架構,並從身分鑑別開始著手,林政毅表示,對於他們這類身分安全產品廠商而言,確實起了推波助瀾的效果,畢竟,他們在11年前提倡多因素身分驗證(MFA),當時很多人還不知道MFA是什麼,因此花了相當多時間,在持續對市場進行教育。
最近這兩年,在政府大力鼓吹零信任之下,由於第一個議題就是涉及身分認證的環節,因此算是第一個成為受惠的產業。再者,近年政府促進產業資安政策的推動,也喚起臺灣企業資安意識,尤其是這兩年上市櫃公司都在設置資安長,資安長上任後也將進行資安防護盤點或健檢,進而尋找相應的方案,這都是利基點。
來毅數位科技董事長林政毅表示,十年前他們在提倡MFA時,需要花相當多時間做市場教育,現在政府推動零信任架構,並從身分鑑別開始做起,有望帶動政府、金融以外產業重視身分安全議題。
而且,過去產業間,金融業一直是受到高度監管的單位,因此過去對於身分安全方面就有一定的需求,例如,早年就有企業與組織採用硬體Token產品等,因為這是Must to have,但對於其他產業而言,多半則是Nice to have,如今隨著政府機關推動無密碼登入、政府零信任架構,有了政府帶頭,可以更容易擴散到其他產業,擴散到企業端。
特別的是,由於來毅數位科技已將產品推向全球多國市場,根據他們的觀察,相較於其他國家,臺灣在身分安全方面的推動腳步是否會太慢?
他認為,如果是跟美國相比,臺灣的確比較慢,但與鄰近國家相比,我們的腳步走得其實算前面。例如日本比臺灣慢一些,若是越南、泰國等東南亞國家,進度更慢,由於這些國家沒有相關規範去帶動,因此在這波浪潮之下,就會推動得較慢。
從硬體發展到軟體,歷經兩大階段,回顧這些年來,林政毅表示,身分認證技術的基本邏輯,其實很相似,基本的知識也都大同小異,重點在於如何能夠適應整個時代的消費者,或使用者習慣。
以Keypasco的產品設計來看,最初他們的思考點,就是如何在不安全的裝置上,提供安全的身分認證,因此,將MFA列為必要功能,如今大致可畫分出兩種類型的產品:一種是API模式,可適用B2B2C及B2B的場景,另一種是Proxy模式,專門用於B2B的場景,對於市面上普遍存在的應用系統,能夠予以整合。
而在這些年來,林政毅表示,他們已經開發出雙通道認證架構,藉由第二條通道驗證登入資訊,避免中間人攻擊及釣魚攻擊,而且,產品本身具備獲取設備特徵值的能力,同時,還結合了地理位置、時間條件存取限制,以及風險引擎、監控設備的健康狀況等特性。
在這10年間,他們持續因應各種產業需求,其實已經處理過各種不同的情境,所以能提供相應方案與版本,而對於這次政府零信任架構的驗證,由於規範當中希望採用FIDO架構,因此,他們也依據這樣的需求,調整出能夠相應的版本。
特別的是,除了政府推動確實可以幫助到產業,他認為,國際間全球大廠開始要求,要求自家的供應商能符合相應的資安規範,而這樣的氛圍也是促進產業商機的關鍵之一,因為,他們手上就有一個光電業案子已經這麼做,用戶先將供應商平臺應用API模式身分認證,後續這家公司也進一步採用Proxy模式,讓內部員工的身分認證也都能夠強化。
偉康科技:不只政策加持,供應鏈也成推力
於1998年成立的偉康科技,過去主要發展數位金融解決方案,雖然非一開始就從身分安全技術研發起家,但該公司總經理陳怡良表示,隨著2017年行動應用發達,帳密安全問題備受關注,讓公司技術單位開始發展生物辨識解決方案,接著2018年,由於FIDO標準受到更多國際重視,這時他們開始研發基於FIDO標準的解決方案,也為了保護FIDO技術的安全,設計白箱加密演算法,讓加密金鑰碎片化、不易被竊取。因此,他們大概是在6年前,跨入身分識別的技術領域,一開始是主要鎖定B2B2C的應用,讓他們金融企業的客戶有更好的身分認證方式。
對於今日政府零信任架構的推動,從身分識別做起,是否帶動了相關資安需求與商機,陳怡良認為,這可以分成幾個階段談起,就他的觀察,主要是在三年前,也就是2020年之後,有了明顯的變化。
首先,是在2020年疫情爆發期間,這時居家上班風潮,VPN使用情形增加,這也讓金融業對於內部人員身分安全更加重視,他們看到金融業居家上班,因此產生更安全身分登入的需求;其次,是VDI遠端桌面也同樣要有更安全的無密碼登入需求;第三個新浪潮,則是隨著供應鏈而起,由於國內許多製造業身處美國科技大廠的供應鏈體系,在受到供應鏈的稽核規範下,因此有企業開始將FIDO技術綁定VDI遠端桌面的需求。由於有這些市場需求的帶動之下,也促進著他們的產品研發。
而以政府推動上來看,陳怡良認為,真正在市場上獲得較大迴響的關鍵事件,是2021年金管會宣布金融FIDO成立,當時感受到很多金融業者都很關切這方面議題,之後2022年政府零信任架構發布,算是新一波帶動。
偉康科技總經理陳怡良指出,從產業類型來看,對於身分安全強化最早會是金融業與政府,第三他們認為是製造業,主要是受到供應鏈資安稽核的驅動,第四則會是近期政府點名的電商產業。
陳怡良表示,2021年與2022年是他們感受最深的時期。而且,偉康在2021年,已將FIDO技術方面的產品核心,變成雲端服務提供給企業,推出基於SaaS服務的OETH身分認證平臺,因此對於偉康而言,政府這方面的推動確實帶來很大的動力。最近,他們也將上述平臺重新設計為OETH One。
關於政府零信任架構的身分鑑別驗證,陳怡良表示,對於投入研發的資訊廠商有好處,因為政府有政策支持,市場有熱度,大家投入的程度也會更高,而且驗證過程也都很嚴格,因此他們依照資安檢核面向與條款,提供對應版本,以滿足技服中心的驗證規範。
例如,規範主要依據臺灣政府現況強調的向上集中而進行,但他們原先是採分散式設計。陳怡良表示,他們既然能「分散」,也就能「集中」,關鍵主要是複雜度問題,而一般產業的需求可以是分散,也可以是集中,因此,他們也能對應資安院要求,提供合適的產品。
若從更廣角度來看,像是美國政府推動零信任架構,會聚焦在身分、裝置、網路、應用程式與資料等不同面向。
因此,以他們目前的方案而言,是從身分到裝置之間的範圍,但在網路這一層面,由於市場上已有很多外商產品,這也不會是他們目前擅長的領域,因此之前就與外商產品進行整合。
較特別的是,他們認為應用程式與資料的層面,將牽扯存取權限的細膩度,因此他們也會朝這方向去研發。因為他們的研發中心也涵蓋AI與資料的應用,先從資料控制著手,再往前做回來,他覺得這樣的發展也很不錯。
至於國際市場的拓展,偉康科技也正開始行動。他們從2022年開始布局,在2023年5月宣布採國際策略合作方式,與大宇資訊旗下的安瑞科技(Array Networks)進軍印度市場,希望結合偉康FIDO技術與安瑞的SSL VPN,可以較容易地快速切入國際市場發展,而且不只是印度,在泰國、日本等市場,雙方都會有共同合作來推動。
台灣網路認證:看好PKIoT領域將投入發展
作為很早就通過身分鑑別的廠商之一的台灣網路認證,從1999年成立就鎖定身分識別領域的電子憑證發展。該公司策略發展部產品總監連子清表示,他們在2016年開始看重免臨櫃的商機,成立TWID身分識別中心多元整合服務,打造多元身分識別解決方案,發展跨產業應用的客戶身分識別,後續到了2019年,也協助內政部建置Taiwan FidO臺灣行動身分識別。
而在原有的電子憑證方面,隨著電子文件、合約的需求,電子簽章的應用也持續擴增,包括電子文件簽署、電子保單認證等。綜合而言,其產品服務已經涵蓋4項,分別是:多元身分識別服務、信物管理服務、電子文件簽署服務,以及資料共享。
如今,隨著2022年政府零信任分為三階段開始推動,他們也將原有的身分識別技術,轉化成相應的解決方案。
對於資安院提出政府零信任架構的驗證,他們認同這對身分安全廠商是一大利多,同時也提供其他更深刻的觀察。
連子清表示,資安院目前畫分三階段進行,從身分鑑別、設備鑑別,到信任推斷,由於通過身分鑑別認證多在去年年底,因此,今年商機可能才會發酵。
台灣網路認證策略發展部產品總監連子清認為,這一年來政府零信任架構的推動,2023年雖然不是一個轉捩點,但可說是一個挺好的時機,尤其是烏克蘭的事件後,政府大力推動網路安全,也促使產業間變得更加重視。
另一方面,雖然現在剛進入第二階段的設備鑑別,可卻會面臨一些尷尬的局面,主要原因在於,這三階段並非同時進行,因此,前面階段身分鑑別的方案,與位處後面階段的設備鑑別、信任推斷的方案是否相容,是必須注意的。
具體而言,因為資安院目前相關規範還沒全部完成,像是設備鑑別才剛開始,信任推斷的驗證內容尚未發布,因此,如果此時要與客戶去談政府零信任的產品與服務規畫,容易面臨現在無法提供全套方案的情況。
整體而言,2023年會是好時機,但可能還要再過一段時間,等PoC做完或是與後續階段一起推動之後,才會更有感。畢竟,政府帶頭做,還是要有實際的應用落地,因此可能還要再等等。
他還觀察到一些值得留意的狀況,像是:若要參與第二階段產品的驗證,似乎也要通過第一階段驗證,但有些廠商可能有擅長領域不同的狀況。觀察國外的作法來看,其實會有各階段分屬不同廠商的搭配方式。此外,由於第二階段:設備鑑別的涵蓋範圍其實不小,目前在設備健康管理方面,可能會出現到下個階段執行的可能性。
就台灣網路認證的方案而言,擅長的是身分鑑別與設備鑑別前半段的部分。單就身分鑑別方面,連子清也提出更多說明,這是因為,以國際標準而言,身分識別分為註冊階段、信物管理、信物驗證,這也是他們涵蓋的部分,不過,資安院提出政府零信任架構的身分鑑別,其實並未涵蓋到定義註冊階段的部分,他認為未來仍應顧及這方面需求。
此外,政府共同供應契約新增「零信任網路平台安裝建置服務」的標案,對廠商而言,除了要通過政府零信任架構驗證,也要申請共同供應契約。廠商可能會憂心目前這樣的提供無強制性,公部門若要建置零信任環境,不一定要從通過資安院驗證的廠商去選擇,因此能否帶來顯著市場成效,仍有待觀察。
至於未來會有哪些發展焦點?除了跟上政府零信任架構的腳步,台灣網路數位也看好PKIoT的發展,也就是將憑證與IoT做結合,這會是他們未來將發展的重點,目前國外已開始有廠商在做這一塊,至於KYC方面的應用也會是他們接下來的目標,補強身分識別的應用。
期盼臺灣資安產品版圖也能擴大
無論如何,身分安全在零信任架構的重要性不言而喻,像是國際大廠Google與微軟,都公開強調這樣的關係。
例如,去年底Google Cloud台灣技術副總經理林書平在一場演說中,就提到Google零信任的做法,強調以身分取代網路作為存取控制的安全邊界,他們的零信任安全模型,是從身分角度來看信任,共分成五大要素,包含了使用者的身分、裝置的身分,機器的身分、服務的身分,以及程式碼的身分。
今年初,我們拜訪微軟了解其零信任發展概況時,該公司專家技術部資安副總經理周彥儒表示,微軟就是以Azure AD(現改名Entra ID)為基礎,達成零信任在身分驗證環節的要求。
臺灣開發資安產品的業者不少,在身分安全領域已存在一些業者,如今在零信任架構推動的風潮之下,雖然有蓬勃發展的機會,但很難在短時間內像國際大廠,擁有豐富的產品線、建構完整、全面的零信任解決方案,因此,如何能在零信任產業鏈獲得一席之地,並拓展至全球市場,整合或許是一大關鍵,也是接下來資安界必須持續關注的重點。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-11-20
2024-12-02