两年前,依据第六期「国家资通安全发展方案(110年至113年)」曜祥网技强调,企业与组织要建立「以连网设备管理为核心的零信任架构」,在网路边界尚未消失之前,需在内部环境建置网路存取控管的架构(Inside Trust Zone),任何设备不能随插即用(连网),需通过合规的检查,检查资安组态的套用是否落实,可由该公司的全方位资安智慧平台(Security Intelligence Portal,SIP)担纲相关的作业;若使用者在内部环境要进一步连接重要的资通系统,这时就要启动身分鉴别、设备鉴别,以及信任推断(Zero Trust Zone)。他们认为企业目前与未来的环境,将会存在混合式的零信任存取架构。
而在信任推断的部分,则是政策决策点(Policy Decision Point,PDP)涉及如何建立动态的策略,奥义智慧提出的作法,是设立决策引擎作为存取闸道,需通过身分识别与装置识别这两个项目,之后会透过API介接,取得全景FIDO相关资讯、端点的风险、身分的风险,以及外部政策的风险。决策控制器XCockpit ZeroTrust会向各种PIP索取资料,把这些资讯整合起来,若这些状况都经过认可,就会核发鉴别声明,让使用者能够存取到资源(机关资通系统);相反地,若接收到端点侦测到资安风险,例如存在恶意程式的行为或骇客活动迹象,决策控制器就会借此判断现在状况有危险,认定本次资源存取不合法,进而限制使用者存取。
除了上述两家厂商,中华电信于2023台湾资安大会于台湾资安馆展出的xTrust零信任网路系统,今年再度参展并强调具有信任推断功能。在2024台湾资安大会的第一天下午,中华电信研究院资通安全研究所主任级研究员孙汉杰发表演讲,介绍此产品结合身分鉴别、设备鉴别、AI/ML 信任推断分析、支援 FIDO2 国际标准、资料过滤和日志纪录等关键技术。
在国际资安厂商的部分,我们也问到几家业者,请他们谈谈自家产品对于信任推断的支援。
首先是趋势科技(Trend Micro),今年他们在自家展区介绍整体解决方案平台VisionOne的三大支柱之一:Zero Trust Secure Access,他们表示,若企业与组织采用趋势科技的产品与服务,已能因应零信任架构的三大要求,趋势科技也透过与其他厂商合作的方式来达成。以身分鉴别为例,趋势科技目前可整合Microsoft Entra ID(Azure Active Directory)或是其他目录服务来达成;关于设备健康度检查,趋势科技支援多种检测条件、例如是否安装防毒软体或系统最新的漏洞修补版本;在信任推断的部分,趋势科技整合八大面向精准算出单一设备的风险分数,并备妥API供其他厂商进行演算。
显然Forcepoint提出的解决方案与现行台湾资安厂商著重的作法大异其趣,因为他们主攻资料外泄及使用者行为的分析,而非端点与网路的层面,但我们不能否认信任涵盖的面向原本就是广泛的,结合更多角度来定义与验证信任程度高低,的确有其必要性,也期盼能有越来越多资安厂商一起合作,共同响应政府零信任架构的推动,面对层出不穷的内外部资安威胁,能够持续做到看得见、守得牢、管得好等目标。