零信任是概念而非特定解決方案

在我國政府大力推動零信任之下，我們樂見政府在網路安全策略積極行動，重視這樣的資安界潮流與國際趨勢，但我們也憂心，在目前的政府零信任架構規畫上，只從打造零信任架構的決策引擎、從身分鑑別一項開始，足夠嗎？

這幾年我們整理零信任架構進展時，看到美國網路安全暨基礎設施安全局（CISA），以及美國國防部提出相應藍圖。例如，在CISA提出的零信任成熟模型中，是從五大支柱做起，包括身分、裝置、網路、應用服務及工作流、負責，分別定義4種階段的成熟度供評估參考。

美國國防部在今年1月提出自身單位的「零信任能力執行路線圖」，當中擬定將從7個層面做起，包括：使用者、裝置、應用程式與工作流、資料、網路及環境、自動化與協調、可視性與分析，並預計要到2027財年，才會達到零信任架構最基本的基準線。

而且，我們從目前共同供應契約的零信任採購項目來看，有些廠商在標案中提供的產品，可說是包山包海的資安類型產品。

對此問題，大型資安廠商怎麼看待？出身臺灣的國際資安廠商趨勢科技認為，雖然市場上喊出零信任解決方案，但大家在推動零信任架構時可以有一個觀念──零信任是一個框架、是一個概念，不要將零信任架構定位成特定解決方案，要用概念的角度去看待，一步步從各層面去強化成熟度。

趨勢科技台灣區暨香港區總經理洪偉淦表示，臺灣從身分識別開始做起，並不是壞事，因為我們很難一開始就設定完美的架構，或是一開始就有很大筆的預算，能夠用來完成所有的事情。

但要注意的是，對於零信任架構推動，美國NIST提到要兼顧可用性與安全性，因此，不要為了符合零信任，而去刻意做一套很特殊的系統。再者，用戶對於既有設備不要重複投資，應選擇從最關鍵的地方開始做起，全面去做，可能會變成不分輕重緩急。

過去曾擔任美國政府官員、現為趨勢科技技術策略長的David Chow也指出，從美國的推動經驗來看，聯邦政府曾遇到很大的挑戰，因為導入時間很長，根本無法符合白宮要求，而能在短時間內達一定目標。這也顯示出，零信任不是一件容易的事。

但David認為，美國政府有個作法值得借鏡。政府將零信任架構整個框架宣布後，主要是給出一個大方向，接下來就是讓各個聯邦政府去制定組織計畫，之後再交由政府來確認，是否可以符合框架的目標，再撥放預算供組織來發展。

他認為，美國提出的這些策略其實很多都是風險評估──從風險評估角度切入，掌握需要保護的資訊，從成熟度角度看起，在不同面向提升。

例如，美國聯邦政府在2005年啟動個人身分驗證（PIV）計畫，要求員工使用智慧卡（Smart Card）進行身分驗證，後續也衍生PIV-D憑證，因此早就有MFA的機制存在。當組織本身已經有這方面機制，可以繼續用來符合零信任架構，這時就應該把錢放在刀口上，做風險評估，看哪些面向是有效提升其成熟度，並且能夠符合零信任架構所需。

洪偉淦也強調，具體實踐就是要從零信任架構的概念，一步步疊加上去，因為我們的預算不可能是無限的，只能一步步做好疊加的動作，但重點在於，疊加的東西需要能夠彼此配合，相容性要疊得出來，才能夠做到真正的整合。

畢竟，企業實際導入還會考量成本，以及是否影響日常營運，操作是否會變得困難，若是如此，導入順序也會一直被遞延。在此考量之下，零信任架構才有辦法一步步往前推動。

 相關報導