今年臺灣資安大會的主要標語「TRUST : redefined信任重構」,強調的IT安全議題,正是資安界這幾年來最熱門的防護概念之一:零信任(Zero Trust)。

這樣的資安概念從逐漸成形,到如今成為廠商與專家必談的議題,其實花了不少時間。關於這樣的作法,最早可追溯至2003年、2004年,有個名為Jericho Forum的跨國工作小組,開始探討網路邊界消弭(De-perimeterisation)的議題。到了2009年,研究機構Forrester首席分析師John Kindervag提出了新的資安模式,稱為零信任(Zero Trust Model)。

同年,網路巨擘Google也因為自身面臨「極光行動(Operation Aurora)」APT攻擊,於是在內部推動全新的安全架構發展計畫,稱為BeyondCorp,讓公司員工、連網設備存取內部應用系統時,不論其位於內部網路或公共網際網路,能夠透過這樣的機制與流程來確實驗證人與裝置的身分。經過幾年的研究,他們在2014年底公開BeyondCorp架構與存取流程,2016年第一季揭露自身設計與部署BeyondCorp架構的方式。

2019年4月,Google成立專屬的聯盟,與5家端點安全與管理廠商合作,分別是:Check Point、Lookout、Palo Alto Networks、Symantec、VMware,希望能夠將資安產品偵測到的裝置安全防護態勢,餵送至Google的內容感知存取引擎,以此作為信任與否的判斷依據。隔年10月,Citrix、CrowdStrike、Jamf、Tanium等4家廠商,也宣布加入這個聯盟。今年1月,他們正式推出BeyondCorp Enterprise的雲端服務。而由於Google長期推動這個計畫,也讓各界每次一談到零信任的實際應用,就會馬上聯想到Google的BeyondCorp,甚至有人將兩者畫上等號。

在這段期間,零信任概念仍在持續演化與普及,並且影響IT市場研究機構的資安議題設定。例如,在2017年底、2018年初,Forrester首席分析師Chase Cunningham提出了擴充概念,稱為零信任延伸(Zero Trust eXtended,ZTX)生態系統;2017年6月,Gartner基於他們先前提倡的自我調整安全架構(Adaptive Security Architecture),新推出一套資安防護策略,名為「持續適應風險和信任評估(Continuous Adaptive Risk and Trust Assessment,CARTA)」,當中也包含了與零信任相似的概念,於是,兩者經常被相提並論。

到了2019年9月,美國國家標準暨技術研究院(NIST)針對零信任架構(Zero Trust Architecture),公布他們所制定的草案標準,廣邀各界評論,隔年2月推出第二版草案,8月拍板定案、正式頒布SP 800-207標準,也讓各界面對零信任架構時,有了共同討論與發展的基礎。

而這項國家等級的資安標準,將聚焦在保護資源,而不只是網路分段──之所以如此,是因為現今的企業人員運作型態已趨向遠端使用者的配置,而且基於雲端服務而成的各種IT資產,也未必都設置在企業的網路邊界之內。NIST表示,美國聯邦政府在當前的網路安全政策,以及相關防護計畫的實施作為上,也已經將ZTA資安策略體現在其中,而他們所發布的這份標準文件內容,將會呈現零信任的抽象定義,以及通用的部署模式、應用案例,可協助企業改善整體IT資安態勢,並提供實作這項策略的高階發展藍圖。

值得注意的是,零信任這項議題不只是資安界與企業關切,國家級安全機構也很重視。例如,美國國防部國防資訊系統局(DISA)在5月13日宣布,將提供零信任參考架構,希望協助美國軍方維持在數位戰場上的資訊優勢,而這項架構的內容擬定,主要由國防資訊系統局,以及國防部資訊長、網路作戰司令部、國家安全局來負責,而DISA的網路發展理事會,以及架構與標準工程辦公室,都將加入NSA與DISA聯合的零信任計畫辦公室。

相關報導

專欄作者

熱門新聞

Advertisement