中華資安國際：重新審視企業個組件 建立零信任架構

2022年度CIO大調查發表會會後報導

近幾年「零信任」成為最熱門的名詞，這是源自於2010年 John Kindervag 提出的零信任概念，訴求信任邊界不存在，內部網路並沒有比較安全。企業若要建立零信任環境，應該要從使用者的零信任、應用程式的零信任、架構的零信任等三個角度，以及身份辨識、裝置辨識、存取權限、網路流量等四個面向著手。

[ 2022年度CIO大調查報告下載 ]

隨著全球對零信任議題非常關注，NIST為此做出完整定義，在 NIST SP 800-27 中指出，零信任是一種專注於資源保護的網路安全範例，其前提是信任永遠不會被授予，且必須不斷評估。而零信任提供一系列概念和想法，用來最小化在面對被視為受損的網路時，需資訊系統和服務中執行準確、每個請求的最小權限存取。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球CIO同步獲取精華見解 ]

零信任架構是一種端到端的企業資源和資料安全實現方法，包括身份(個人和非個人實體)、憑證、存取管理、操作、端點、託管環境和互連基礎設施。零信任架構是企業的網路安全計劃，是利用零信任概念，針對各組件間關係、工作流等規劃一套完整的存取政策。

「進入5G行動網路時代之後，零信任架構將更為重要。雖然5G具備高頻寬、大連結、低延遲，但也有缺乏網路可視性 ─ 流量通訊均為封裝傳送、不易識別遭感染/受損的使用者終端裝置，以及無法在裝置層級達成可視性與資安實現，且難以阻擋對行動核網的攻擊等三大額外資安挑戰。」中華資安國際協理王信富解釋：「中華資安國際的技術及經驗，可協助金融安全評估、紅隊資安檢測、藍隊驗證、MDR資安監控、即時事件回應等專業服務，搭配中華電信5G專網，以及自主研發『MEC 5G 智慧管+』，能與企業合作進行5G應用服務場域實證。」

面對接連不斷的資安威脅，企業應確實執行資產盤點、提升端點/網路可視性、監控不同階段的駭客攻擊活動，搭配管理制度，就能有效控制資安風險。此外，企業業可針對使用者、應用程式以及架構重新審視企業個組件間關係、工作流規劃和存取政策，建立零信任架構以及營運政策。

中華資安國際建議企業可從自身需求出發，評估執行零信任安全區域架構設計、零信任遠端存取、落實資安弱點漏洞管理，以及建立雲端原生應用服務防護平台等行動方案。（文／林裕洋）

(本文授權非營利轉載，請註明出處：CIO Taiwan)