【臺灣資安大會直擊】資安院：政府推動零信任架構，今年完成A級機關導入身分鑑別，2機關將先導入信任推斷機制

「隨著資料及服務的雲端化，使用者的行動化，使用設備的多元化，傳統資安防禦以網路作為信任邊界的作法愈來愈困難」，在今年臺灣資安大會上，國家資通安全研究院副院長吳啟文分享我國推動零信任架構策略及現況時說。

傳統以網路為邊界，網路內存取值得信任，而來自網路外的存取不被信任，然而，現今有不少資安風險來自網路內，使得此一傳統防禦觀念受到挑戰，近幾年以保護資料及應用存取，強調對資料存取永不信任（Never Trust）且必需驗證（Always Verify）的零信任架構興起。

吳啟文表示，零信任架構從早期的概念探討，近幾年更發展至實務部署規畫階段，美國、英國、新加坡、日本、歐盟等相繼發表其零信任架構推動策略，在網路疆界不再，沒有內外網分別，資安威脅無所不在之下，零信任架構成為重要國家強化自身網路安全的對策。值得一提的是，零信任導入並非一次性技術汰換，在推動實施過程中，需與傳統模式混合運作。

他以較早推動的美國為例，美國從2021年總統拜登提出行政命令，要求聯邦政府推動零信任架構，美國政府發表零信任架構安全原則，基於該原則，美國總務署GSA提出零信任採購指引，國防部DOD提出零信任策略，美國網路暨基礎設施安全局（CISA）也提出零信任成熟度模型。美國國家標準暨技術研究院（NIST）也發布零信任架構SP 800-207、實施指引草案，以及SP 800-63身分與存取管理指引第四版草案等。

吳啟文指出，美國推動零信任是以整個組織推動。以國防部為例，他們將零信任架構分為7個支柱，使用者、裝置、應用程式與工作負載、資料、網路與環境、自動化與協作、可視化與分析，共畫分45個能力（Capabilities）推動依成熟度分為目標等級（Target level）及進階等級（Advanced level），並訂定2027年達到雲信任架構部署的Target level。

CISA於2023年4月發表零信任成熟度模型2.0，將零信任能力分為5個支柱，身分、裝置、網路、應用程式與工作負載、資料，並將每個支柱成熟度分為4個階段，傳統階段（Traditional）、起始階段（Initial）、進階階段（Advanced）、最佳階段（Optimal）。不同於國防部的架構，CISA將可視性與分析、自動化與協作、治理3項，視為5個支柱的共同基礎。

韓國則在2023年6月由科學技術情報通訊部（MSIT）發表零信任準則1.0，作為政府機關、企業導入零信任架構參考，該準則將零信任架構分為6個支柱，身分、設備、網路、系統、應用、資料，並建議規畫成熟度目標，應考慮組織內外部影響因素，例如現有技術及政策法規，以及相關的ISMS驗證、雲端安全驗證、資通訊及資安驗證等。

值得一提的是，韓國政府列出零信任的6個應用情境，包括母公司與分公司的遠端存取、第三方協作、內部網路與網際網路、內部與雲端部署、物聯網、工業控制，列出不同應用情境之下，推動零信任的目標、實踐重點，供各產業不同情境的組織在落實零信任架構時參考。

我國導入零信任架構策略3大核心機制：身分鑑別、設備鑑別、信任推斷

臺灣也不落人後，主要參考NIST SP800-207，以及身分與存取管理的SP800-63，分為身分鑑別、設備鑑別、信任推斷。吳啟文表示，考慮到整個組織推動較為困難，因此選擇以核心資通訊系統導入，並以基準（baseline）的概念推動，未來可以從身分鑑別、設備鑑別、信任推斷，逐漸擴大至整個組織。

依據NIST SP800-207，採用資源門戶的部署方式（Resource Portal-Based Deployment），零信任架構分為核心組件、支援組件，核心組件控制資源的存取，負責鑑別、授權、管理連線，支援組件則是支援存取決策的周邊系統，例如身分管理、活動日誌、威脅情資、資料存取政策等等。

我國將零信任分為3大核心機制，身分鑑別、設備鑑別、信任推斷。其中的身分鑑別採用多因子身分鑑別（例如FIDO無密碼驗證）與鑑別聲明；設備鑑別則是鑑別使用設備、設備健康管理；信任推斷則是綜合使用者的身分、設備及行為各方面，作為信任推斷的依據。

依照NIST SP800-63-3，該標準建立的身分鑑別機制，將身分鑑的嚴謹度定義為身分保證等級（IAL）、鑑別保證等級（AAL）、聯邦保護等級（FAL），每個身分鑑別等級的嚴謹程度又分為3個1、2、3等級（數字愈高，等級愈高），我國採用基準概念，政府公部門推動零信任架構，至少需滿足IAL2、AAL3及FAL2（下圖）。

在身分鑑別方面，採無密碼雙因子，例如FIDO2鑑別使用者的身分，至於由身分鑑別者（Identity Party，IdP）提供給服務提供者（Relying Party，RP）的使用者身分鑑別聲明，需採用簽章或加密技術，確保RP可解密及驗證鑑別聲明，確保聲明的機密性及完整性。

在設備鑑別方面，採用公開金鑰技術作為設備鑑別，由設備上的TPM安全晶片或代理程式產生金鑰憑證，完成設備註冊及鑑別；同時也持續監控設備的健康狀態，依據設備健康狀態計算對該設備的健康信任等級。

吳啟文指出，設備健康狀態包含作業系統更新、防毒更新、應用軟體更新、組態合規等，根據不同的狀態評分，計算使用設備的健康信任等級。

至於信任推斷方面，基於信任推斷來決定存取權限，信任推斷機制可能制定規則、分數，或是混合規則與分數。以分數為例，依使用情境計算每次存取的信任分數，綜合參考身分鑑別、設備鑑別、設備健康、IP位址、登入時間，還有外部情資如CVSS評分、EPSS漏洞利用評分等等，根據上述資料計算信任等級，再依權重、信任等級計算出信任分數，依不同的信任分數允許或是拒絕存取。

吳啟文表示，我國推動零信任雖然以身分鑑別、設備鑑別、信任推斷為3大核心，分別對應國防部DOD零信任架構7大支柱中的「使用者」、「裝置」、「可視化與分析」，但是在我國的零信任系統架構中，也對應DOD的「應用程式與工作負載」、「資料」、「自動化與協作」、「網路與環境」4個支柱。此外，「應用程式與工作負載」、「資料安全」則回歸我國的資通安全管理法要求。

與DOD的零信任架構45項能力相比，他認為，我國的零信任架構並未詳細定義相關技術，例如資料外洩防護、軟體定義網路、手機裝置管理、自動動態規則，這些在未來可成為我國精進方向。另外，如以CISA零信任成熟度模型來看，我國的零信任架構要求，在CISA的「身分」、「裝置」、「網路」3個支柱方面，我國的規定可達到成熟度模型中的進階階段（Adavanced），至於「應用程式與工作負載」、「資料」2個支柱則達到起始階段（Initial）大部分能力，CISA的部分成熟度能力，例如應用程式先測試再部署、資料分類分別，屬於管理面的要求，可由資通安全管理法來補足。

今年3月中接受政府零信任架構信任推斷產品驗證

配合政府機關推動零信任架構，從2022年開始接受政府零信任架構身分鑑別、設備鑑別2項產品功能符合性與整合驗證服務，2024年3月中開始接受信任推斷產品功能符合性驗證申請。廠商送驗分為業者依檢核表自評、業者依檢核表展示功能、業者至資安院驗測3個階段。截至5月15日為止，已有13項產品通過身分鑑別的，2項通過設備鑑別。

吳啟文表示，為促使廠商彼此合作整合，鼓勵業者申請身分鑑別、身分鑑別+設備鑑別、身分鑑別+設備鑑別+信任推斷等驗證模式。對於業者反映驗證作業緩慢的問題，未來資安院將與學校合作，增加受理的能量。另外，也希望廠商送驗產品提交資安檢測報告的必要性，因為在檢測時發現分部產品存在漏洞，希望增加產品本身的資安檢測。

去年先以資安責任A級機關優先導入身分鑑別

我國政府零信任架構推動，依照「第六期國家資通安全發展方案」（2021年至2024年）中「善用智慧前瞻科技，主動抵禦潛在威脅」推動策略，訂定在2021年完成零信任架構、概念性驗證及部署規畫，從2022年到2024年遴選2個機關，逐年導入身分鑑別、設備鑑別、信任推斷。至於遴選機關的標準，以機關的帳號集中度高、資通訊向上集中度高、外網存取需求高、機關配合意願高為條件，數位發展部扮演領頭羊的角色，2022年成立時即在建置資通訊系統時導入零信任網路機制。

目前為優先推動A級機關導入零信任架構，2023年將身分鑑別導入機關，特別是以導入T-Road的機關為優先，去年數位部開始輔導22個A級機關導入身分鑑別；2023年選定2個機關試行導入設備鑑別。

政府導入零信任架構，首先進行資源規畫，因為以資通訊系統導入為主，先盤點各機關的核心資通訊系統，盤點不同系統的身分鑑別方式、連線方式，使用的身分鑑別伺服器、作業系統、開發程式語言等，以進一步制定導入優先順序。另外，也針對使用實體安全金鑰或手機App，評估2種FIDO身分鑑別方式的優缺點。

身分鑑別導入的過程中，機關需要3臺主機或VM，用以部署決策引擎、存取閘道、FIDO2伺服器，並且和機關內現有的身分鑑別伺服器介接，針對使用帳號完成一致性測試，接下來是與資通訊系統介接，包括網路組態調整。2023年更進一步試行身分鑑別與設備鑑別的整合流程，為保有彈性，對於身分鑑別、設備鑑別兩者的先後執行順序沒有限制。

經費及人力影響機關導入意願，加強不同業者產品相容性及整合

經過一兩年的試行、導入，吳啟文也綜整政府機關試行零信任架構的幾個挑戰，例如受限於經費及人力，影響機關導入的意願，這部分數位發展部已編列預算，協助資安責任的A級機關優先導入零信任架構的身分鑑別機制。另外，各機關內資通訊系統相當多元，可能委託不同廠商開發，因此在身分鑑別機制介接資通訊系統，面臨調整成本及廠商配合意願。

至於身分鑑別機制所使用的FIDO2身分驗證，目前包括實體安全金鑰及手機App，其中實體安全金鑰，相較於手機，容易遺失，需要加強資產管理。

另一項挑戰是，零信任產品後續相容性問題，由於我國推動零信任架構的身分鑑別、設備鑑別、信任推斷3個核心機制，可能採用不同業者的產品，後續導入必需考量到解決相容性及整合問題，目前資安院已協調通過驗證的業者，必需提供API及相關文件，供其他業者的產品克服整合的問題。

經過近一兩年機關試行導入蒐集回饋意見，例如支援更多元的身分鑑別方式，以支援實體或行動自然人憑證；另外，也需優化設備鑑別註冊流程，以及將身分鑑別時介接的資通訊系統擴大至VDI行動辦公室。此外，更換廠商的鑑別核心機制，機關希望有更大的彈性整合，並且相關日誌可整合至Log server，並且能輸出報表。吳啟文表示，這些意見可作為未來精進推動零信任架構的參考。

吳啟文表示，數位部從2023年開始推動A級機關導入零信任架構，預定在2024年完成全部A級機關導入身分鑑別機制。目前資安院已公告信任推斷的驗證檢核表，供廠商產品送驗參考，2024年計畫由2個機關導入信任推斷機制，作為未來推動政策參考，資安院也會持續鼓勵廠商投入零信任相關產品開發，並納入共同供應契約，為政府導入零信任架構作好準備。