国家资通安全研究院副院长吴启文在今年台湾资安大会上分享我国推动零信任架构现况。
「随著资料及服务的云端化,使用者的行动化,使用设备的多元化,传统资安防御以网路作为信任边界的作法愈来愈困难」,在今年台湾资安大会上,国家资通安全研究院副院长吴启文分享我国推动零信任架构策略及现况时说。
传统以网路为边界,网路内存取值得信任,而来自网路外的存取不被信任,然而,现今有不少资安风险来自网路内,使得此一传统防御观念受到挑战,近几年以保护资料及应用存取,强调对资料存取永不信任(Never Trust)且必需验证(Always Verify)的零信任架构兴起。
吴启文表示,零信任架构从早期的概念探讨,近几年更发展至实务部署规画阶段,美国、英国、新加坡、日本、欧盟等相继发表其零信任架构推动策略,在网路疆界不再,没有内外网分别,资安威胁无所不在之下,零信任架构成为重要国家强化自身网路安全的对策。值得一提的是,零信任导入并非一次性技术汰换,在推动实施过程中,需与传统模式混合运作。
他以较早推动的美国为例,美国从2021年总统拜登提出行政命令,要求联邦政府推动零信任架构,美国政府发表零信任架构安全原则,基于该原则,美国总务署GSA提出零信任采购指引,国防部DOD提出零信任策略,美国网路暨基础设施安全局(CISA)也提出零信任成熟度模型。美国国家标准暨技术研究院(NIST)也发布零信任架构SP 800-207、实施指引草案,以及SP 800-63身分与存取管理指引第四版草案等。
吴启文指出,美国推动零信任是以整个组织推动。以国防部为例,他们将零信任架构分为7个支柱,使用者、装置、应用程式与工作负载、资料、网路与环境、自动化与协作、可视化与分析,共画分45个能力(Capabilities)推动依成熟度分为目标等级(Target level)及进阶等级(Advanced level),并订定2027年达到云信任架构部署的Target level。
CISA于2023年4月发表零信任成熟度模型2.0,将零信任能力分为5个支柱,身分、装置、网路、应用程式与工作负载、资料,并将每个支柱成熟度分为4个阶段,传统阶段(Traditional)、起始阶段(Initial)、进阶阶段(Advanced)、最佳阶段(Optimal)。不同于国防部的架构,CISA将可视性与分析、自动化与协作、治理3项,视为5个支柱的共同基础。
韩国则在2023年6月由科学技术情报通讯部(MSIT)发表零信任准则1.0,作为政府机关、企业导入零信任架构参考,该准则将零信任架构分为6个支柱,身分、设备、网路、系统、应用、资料,并建议规画成熟度目标,应考虑组织内外部影响因素,例如现有技术及政策法规,以及相关的ISMS验证、云端安全验证、资通讯及资安验证等。
值得一提的是,韩国政府列出零信任的6个应用情境,包括母公司与分公司的远端存取、第三方协作、内部网路与网际网路、内部与云端部署、物联网、工业控制,列出不同应用情境之下,推动零信任的目标、实践重点,供各产业不同情境的组织在落实零信任架构时参考。
我国导入零信任架构策略3大核心机制:身分鉴别、设备鉴别、信任推断
台湾也不落人后,主要参考NIST SP800-207,以及身分与存取管理的SP800-63,分为身分鉴别、设备鉴别、信任推断。吴启文表示,考虑到整个组织推动较为困难,因此选择以核心资通讯系统导入,并以基准(baseline)的概念推动,未来可以从身分鉴别、设备鉴别、信任推断,逐渐扩大至整个组织。
依据NIST SP800-207,采用资源门户的部署方式(Resource Portal-Based Deployment),零信任架构分为核心组件、支援组件,核心组件控制资源的存取,负责鉴别、授权、管理连线,支援组件则是支援存取决策的周边系统,例如身分管理、活动日志、威胁情资、资料存取政策等等。
我国将零信任分为3大核心机制,身分鉴别、设备鉴别、信任推断。其中的身分鉴别采用多因子身分鉴别(例如FIDO无密码验证)与鉴别声明;设备鉴别则是鉴别使用设备、设备健康管理;信任推断则是综合使用者的身分、设备及行为各方面,作为信任推断的依据。
依照NIST SP800-63-3,该标准建立的身分鉴别机制,将身分鉴的严谨度定义为身分保证等级(IAL)、鉴别保证等级(AAL)、联邦保护等级(FAL),每个身分鉴别等级的严谨程度又分为3个1、2、3等级(数字愈高,等级愈高),我国采用基准概念,政府公部门推动零信任架构,至少需满足IAL2、AAL3及FAL2(下图)。
在身分鉴别方面,采无密码双因子,例如FIDO2鉴别使用者的身分,至于由身分鉴别者(Identity Party,IdP)提供给服务提供者(Relying Party,RP)的使用者身分鉴别声明,需采用签章或加密技术,确保RP可解密及验证鉴别声明,确保声明的机密性及完整性。
在设备鉴别方面,采用公开金钥技术作为设备鉴别,由设备上的TPM安全晶片或代理程式产生金钥凭证,完成设备注册及鉴别;同时也持续监控设备的健康状态,依据设备健康状态计算对该设备的健康信任等级。
吴启文指出,设备健康状态包含作业系统更新、防毒更新、应用软体更新、组态合规等,根据不同的状态评分,计算使用设备的健康信任等级。
至于信任推断方面,基于信任推断来决定存取权限,信任推断机制可能制定规则、分数,或是混合规则与分数。以分数为例,依使用情境计算每次存取的信任分数,综合参考身分鉴别、设备鉴别、设备健康、IP位址、登入时间,还有外部情资如CVSS评分、EPSS漏洞利用评分等等,根据上述资料计算信任等级,再依权重、信任等级计算出信任分数,依不同的信任分数允许或是拒绝存取。
吴启文表示,我国推动零信任虽然以身分鉴别、设备鉴别、信任推断为3大核心,分别对应国防部DOD零信任架构7大支柱中的「使用者」、「装置」、「可视化与分析」,但是在我国的零信任系统架构中,也对应DOD的「应用程式与工作负载」、「资料」、「自动化与协作」、「网路与环境」4个支柱。此外,「应用程式与工作负载」、「资料安全」则回归我国的资通安全管理法要求。
与DOD的零信任架构45项能力相比,他认为,我国的零信任架构并未详细定义相关技术,例如资料外泄防护、软体定义网路、手机装置管理、自动动态规则,这些在未来可成为我国精进方向。另外,如以CISA零信任成熟度模型来看,我国的零信任架构要求,在CISA的「身分」、「装置」、「网路」3个支柱方面,我国的规定可达到成熟度模型中的进阶阶段(Adavanced),至于「应用程式与工作负载」、「资料」2个支柱则达到起始阶段(Initial)大部分能力,CISA的部分成熟度能力,例如应用程式先测试再部署、资料分类分别,属于管理面的要求,可由资通安全管理法来补足。
今年3月中接受政府零信任架构信任推断产品验证
配合政府机关推动零信任架构,从2022年开始接受政府零信任架构身分鉴别、设备鉴别2项产品功能符合性与整合验证服务,2024年3月中开始接受信任推断产品功能符合性验证申请。厂商送验分为业者依检核表自评、业者依检核表展示功能、业者至资安院验测3个阶段。截至5月15日为止,已有13项产品通过身分鉴别的,2项通过设备鉴别。
吴启文表示,为促使厂商彼此合作整合,鼓励业者申请身分鉴别、身分鉴别+设备鉴别、身分鉴别+设备鉴别+信任推断等验证模式。对于业者反映验证作业缓慢的问题,未来资安院将与学校合作,增加受理的能量。另外,也希望厂商送验产品提交资安检测报告的必要性,因为在检测时发现分部产品存在漏洞,希望增加产品本身的资安检测。
去年先以资安责任A级机关优先导入身分鉴别
我国政府零信任架构推动,依照「第六期国家资通安全发展方案」(2021年至2024年)中「善用智慧前瞻科技,主动抵御潜在威胁」推动策略,订定在2021年完成零信任架构、概念性验证及部署规画,从2022年到2024年遴选2个机关,逐年导入身分鉴别、设备鉴别、信任推断。至于遴选机关的标准,以机关的帐号集中度高、资通讯向上集中度高、外网存取需求高、机关配合意愿高为条件,数位发展部扮演领头羊的角色,2022年成立时即在建置资通讯系统时导入零信任网路机制。
目前为优先推动A级机关导入零信任架构,2023年将身分鉴别导入机关,特别是以导入T-Road的机关为优先,去年数位部开始辅导22个A级机关导入身分鉴别;2023年选定2个机关试行导入设备鉴别。
政府导入零信任架构,首先进行资源规画,因为以资通讯系统导入为主,先盘点各机关的核心资通讯系统,盘点不同系统的身分鉴别方式、连线方式,使用的身分鉴别伺服器、作业系统、开发程式语言等,以进一步制定导入优先顺序。另外,也针对使用实体安全金钥或手机App,评估2种FIDO身分鉴别方式的优缺点。
身分鉴别导入的过程中,机关需要3台主机或VM,用以部署决策引擎、存取闸道、FIDO2伺服器,并且和机关内现有的身分鉴别伺服器介接,针对使用帐号完成一致性测试,接下来是与资通讯系统介接,包括网路组态调整。2023年更进一步试行身分鉴别与设备鉴别的整合流程,为保有弹性,对于身分鉴别、设备鉴别两者的先后执行顺序没有限制。
经费及人力影响机关导入意愿,加强不同业者产品相容性及整合
经过一两年的试行、导入,吴启文也综整政府机关试行零信任架构的几个挑战,例如受限于经费及人力,影响机关导入的意愿,这部分数位发展部已编列预算,协助资安责任的A级机关优先导入零信任架构的身分鉴别机制。另外,各机关内资通讯系统相当多元,可能委托不同厂商开发,因此在身分鉴别机制介接资通讯系统,面临调整成本及厂商配合意愿。
至于身分鉴别机制所使用的FIDO2身分验证,目前包括实体安全金钥及手机App,其中实体安全金钥,相较于手机,容易遗失,需要加强资产管理。
另一项挑战是,零信任产品后续相容性问题,由于我国推动零信任架构的身分鉴别、设备鉴别、信任推断3个核心机制,可能采用不同业者的产品,后续导入必需考量到解决相容性及整合问题,目前资安院已协调通过验证的业者,必需提供API及相关文件,供其他业者的产品克服整合的问题。
经过近一两年机关试行导入搜集回馈意见,例如支援更多元的身分鉴别方式,以支援实体或行动自然人凭证;另外,也需优化设备鉴别注册流程,以及将身分鉴别时介接的资通讯系统扩大至VDI行动办公室。此外,更换厂商的鉴别核心机制,机关希望有更大的弹性整合,并且相关日志可整合至Log server,并且能输出报表。吴启文表示,这些意见可作为未来精进推动零信任架构的参考。
吴启文表示,数位部从2023年开始推动A级机关导入零信任架构,预定在2024年完成全部A级机关导入身分鉴别机制。目前资安院已公告信任推断的验证检核表,供厂商产品送验参考,2024年计划由2个机关导入信任推断机制,作为未来推动政策参考,资安院也会持续鼓励厂商投入零信任相关产品开发,并纳入共同供应契约,为政府导入零信任架构作好准备。