零信任專區
Zero Trust
零信任是什麼?
零信任(Zero Trust)的主要精神為「從不信任,始終驗證」,打破以往以邊界防護做信任分界的概念,不再因為設備或使用者位於公司邊界內部而信任進而給予存取權限。
零信任一詞可追溯於1994年Stephen Paul Marsh 於斯特靈大學( University of Stirling)中發表的博士論文到提及,其將信任視為可用數學描述的有限信任,概念超越道德、合法性等人為因素。而後於2009年Google開始實施了名為BeyondCorp的零信任架構,其認為"內網和外網是完全不受信任"。2010年Forrester Research 分析師John Kindervag以零信任模型表示企業應打破受信任的內部網路和不受信任的外部網路的概念,應檢查所有網路流量。然而此時零信任概念尚未受到企業和機敏單位採納,但隨著移動裝置和雲端的發展,邊界已不能夠納管所有公司資訊資產,故使零信任開始受到重視及推進。2018年NIST(美國國家標準技術研究院)發布了標題為Zero Trust Architecture的SP 800-207文件,此零信任框架發布後使各政府機關和企業對於零信任架構的部屬具有參考及方向,更加速了零信任架構的推動。
台灣零信任網路推動現況
國家資通安全發展方案(110至113)第六期策略中提及將發展零信任網路資安防護環境,推動政府機關導入零信任網路(ZTN),並於後續111年提出政府零信任網路網路需求,提出3大核心機制,並給予相關需求及機制說明。
身分鑑別:FIDO2身分鑑別與鑑別聲明
設備鑑別:TPM設備鑑別與設備健康管理
信任推斷:基於分數與情境之信任推斷機制
圖片來源:國家資通安全研究院
金管會於12/27發表了金融資安行動方案2.0,其中的推動措施中鼓勵零信任網路部屬,強化連線驗證與授權管控,其中亦參考政府機關零信任網路三大核心機制,並以金融機構最為優先