零信任已成為資安界的最大共識

因為人員的資安意識不足、網路衛生習慣不良，而在各種流程與技術的發展、應用上，也難免會有品質瑕疵、邏輯漏洞，因而出現可乘之機，導致企業與組織面臨層出不窮的內外資安威脅。經過長期累積的實際處理經驗，許多人都認為，持續推動零信任（Zero Trust）會是最終解方。

回顧這4年舉行的臺灣資安大會主要訴求，也可看出資安防禦策略重心演變過程。2018年「Cyber First, Cyber Taiwan」，強調資安優先、須成為重視資安的國家；2019年「Together, We Stronger」，期許各界要合作，才能更快因應威脅進犯，提升資安；2020年「Resilience Matters」，呼籲大家要強化韌性才能決勝，因為資安威脅的侵襲是必然，具備妥善應變與快速恢復能力是更為務實的態度；2021年「Trust:redefined」呼應零信任資安態勢，促使信任重構成為最重要課題。而在今年臺灣資安大會則是以「Change Now」為題，提醒大家當前推動數位轉型的變革之餘，資安現在就必須隨之升級，零信任的持續推動與落實，當然也是確保整體資安的關鍵。

談到零信任，過去我們從很多威脅進犯的管道與目標來理解其施行的必要性，像是各種裝置設備、網路與整體環境、應用程式工作負載，以及資料，對於涉及合法與非法判定的身分（Identity），並未投以足夠重視。

即便是這幾年網路釣魚氾濫、多數人習於用相同密碼且各種資料外洩事件難避免，導致產品廠商為了自保，開始強制雙因素驗證（2FA）或多因素驗證（MFA），甚至是無密碼（Passwordless）驗證、FIDO身分驗證，但這些只涵蓋到身分認證（Authentication，AuthN）。

但接下來的授權（Authorization，AuthZ）也很重要，因為任何人若要在各種環境執行功能，通過身分驗證的程序後，需被授予足夠權限，才能順利使用與操作應有機制，而權限可依個別身分或流程扮演角色來指派。

基於這兩個關卡的設置，基本上，能夠更細緻地控制身分查核的程序，以及檢視權限授予的合理性，因此，在IT領域當中，這類安全應用議題也被統稱為身分與存取管理（IAM），透過「身分」與「存取」來對應、突顯AuthN與AuthZ的管理需求。

可惜的是，長期以來，大家都並未嚴正看待IAM，相關的管控往往不夠嚴謹，也缺乏持續的監督稽核，導致身分與存取兩個關卡沒有發揮應有的作用。回頭想想，我們身為系統管理者、網路管理人員、應用程式開發者，在初期技能養成的時候，在IAM這方面曾接收過多少資訊與訓練？或許就資訊安全鐵三角而言，花在可用性（Availability）的力氣可能是最多的，確保各種服務與資料的完整性（Integrity）也投入不少資源，然而，對於機密性（Confidentiality）的確保，卻往往最為輕忽。因為目前如果有人能夠持續注重與落實加密處理，已經被許多人認為是很有資安意識的，然而，這樣還不夠，以身分驗證與授權等程序的安全性檢核為例，就是被大家嚴重低估的資安機制，若要改善系統，大家寧願花更多力氣在流程與效能最佳化，因為這看得見成效，更勝於去處理容易造成使用者不便、可能需改變慣例的IAM。

這樣吃力不討好的工作，過去曾協助公司導入單一登入整合（SSO）的IT人最有感，隨著企業加大力道推動數位轉型、上雲，後續還有許多身分相關工作要繼續推展，因此現在不能再迴避，企業須踏出改善身分管理與安全的第一步！這絕不只是導入2FA、MFA、還需要建置特權帳號管理，無密碼身分驗證、動態存取授權、憑證／金鑰／密文管理等，都是相關資安廠商希望推動的。

不過，在此之前，我們可借鏡先前個資法實施之際，企業透過個資盤點來了解需要管理的部分，如今企業也可以透過身分與權限盤點，才能掌握現行IAM涵蓋的範疇與處理規模。畢竟身分在IT領域無所不在，不能盲目管理，這也將成為企業識別敵我、進行差異化處理的重要判斷基礎。