【臺灣政府零信任戰略正式啟動】從驗證、採購兩大角度出發,身分鑑別先行
網路安全零信任轉型受全球關注,近年臺灣政府已率先付諸行動,推動A級公務機關逐步導入,同時希望帶動本土商用解決方案的發展,讓國內資安產業能在零信任風潮下,擁有一席之地。而這也呼應總統蔡英文任內不斷提及的「資安即國安」戰略,促進臺灣資安產業自主研發能力。 回顧2022年7月,當時的行政院國家資通安全會報技術服務中心(現已納入國家資通安全研究院),首度揭露政府零信任架構網路安全戰略的規畫,說明政府零信任架構將分三大階段進行,第一年聚焦「身分鑑別」,第二年是「設備鑑別」,第三年是「信任推斷」,藉此順序,循序建立起零信任架構中決策引擎的3大核心機制,接下來,數位發展部部長唐鳳在11月公開說明這項計畫,展現政府推動的決心。 轉眼一年過去,如今,我們看到臺灣零信任推動有了更多具體的發展,例如,第一階段身分鑑別驗證,有多家廠商投入,以及相關共同供應契約發布。 同時,我國政府推行強化無密碼登入的態勢,也在持續發酵,自從2019年內政部打造Taiwan FidO臺灣行動身分識別,2021年金管會與金融業及相關單位,共同成立「金融行動身分識別聯盟」(金融FIDO),之後數位發展部在2022年成立,現今這方面的推動情形,更是有著朝向產業擴張的態勢。 顯然,無論網路安全的零信任轉型,以及解決傳統密碼登入安全問題,我國在2023年都有著實質的進展。 領先國際腳步,臺灣從決策引擎驗證做起 近年來,各界幾乎都在推廣零信任架構的網路安全策略。最重要原因,就是隨著APT攻擊更加猖獗,以及企業網路環境的改變,傳統網路安全策略作法聚焦於邊界防護,屢屢遭受不同形式的突破,而且越來越常發生。 於是,經過多年演進的零信任網路安全策略,如今成為主要的因應之道,並廣受認可。其終極目標,就是要大幅降低企業資料外洩災情的發生,以及減少橫向移動攻擊的影響。 自從2020年8月,美國國家標準暨技術研究院(NIST)公布SP 800-207標準文件,幾年以來,我們看到國際間已出現許多具體行動,但臺灣能否重視並跟上這股潮流,成為我們持續密切關注的焦點。 例如,2021年5月,美國拜登總統開始下令,在美國聯邦政府網路安全現代化工程中,祭出導入零信任架構的網路安全策略,兩個月後,美國NIST旗下國家網路安全卓越中心(NCCoE)也開始行動,挑選出當地18家資安科技業者,來幫助設計與演示實施零信任架構的各種方法,如今更是增至24家以上。 最近兩三年,我們看到更多國際科技大廠積極行動支持與響應號召,一方面他們提出自家零信任架構策略,一方面說明自家產品如何朝零信任架構設計,以及這些產品會對應到整個零信任架構的特定環節。 而臺灣本身在2023年有何最新進展? 首先,在政府零信任架構的推動上,根據行政法人國家資通安全研究院資安院(以下簡稱資安院)最新公布資訊,在第一階段的「身分鑑別」方案功能符合性驗證,通過的廠商方案有明顯增加。去年8月,只有2家廠商提供的方案通過驗證,經過這一年下來,已增加到11個方案。 在此當中,前8家均為本土廠商,提供了自家的產品方案,包括:全景軟體、安碁(與歐生全合作)、臺灣網路認證、來毅數位科技、偉康科技、中華資安國際、凌網科技、中華電信。 後續則有外商產品通過驗證,包括:奧登資訊提供OKTA的方案,台灣微軟提供自家方案,以及數聯資安提供Cloudflare的方案。 目前,我們也得知安碁資訊正改以OpenText(Micro Focus去年被併入該公司)的方案,向資安院申請驗證。 因此,單從身分鑑別驗證的現況進展,我們可觀察三個重點: 首先,這些方案將會成為日後政府機關導入的重要參考依據; 第二,政府希望帶動本土商用解決方案發展,但目前出現新變化,因為通過的第9個方案開始出現外商產品。 第三,儘管第二階段的「設備鑑別」驗證已開始啟動,不過目前「身分鑑別」的功能驗證仍在進行。 今年政府採購新增零信任方案項目 特別的是,政府零信任架構的推動不僅止於此,近期我們詢問相關廠商時,了解到另一面向的進展。 例如,在2023年2月,數位產業署軟體採購辦公室展開行動,他們在「112年第三次電腦軟體共同供應契約採購-資通安全服務」標案發布新的組別,名為「零信任網路架構導入及維護服務」。這意味著,政府已經將零信任架構相關納入共同供應契約。 簡單而言,除各單位獨立公開招標,共同供應契約是各級公家機關查詢各式標案或提供採購的平臺,因此,在此替零信任設立獨立組別,具有重大意義。 我們實際檢視該項目的共同供應契約,已有多家廠商參與投標,例如:全景軟體、偉康科技、數聯資安、安碁資訊、中華資安國際、凌網科技,還有自由系統、智域國際、華電聯網、新加坡商網達先進科技、漢昕科技等。 以偉康科技、全景軟體為例,主要提供自家身分鑑別方面產品,凌網提供自家與臺灣網路認證的身分鑑別產品;也有廠商提供多品牌、多類型資安產品,如華電連網提供Darktrace、來毅數位科技、VMware、Palo Alto Networks、Fortinet、F5、CyberArk、Cisco、微軟等廠牌的多項產品,漢昕科技提供高達40多家不同類型廠商產品。 當然,在這波零信任架構轉型之下,不只是政府機關採取行動,金融領域也在鼓勵之列。在2022年12月底,金融監督管理委員會(金管會)正式發表金融資安行動方案2.0,當中一項內容,就是關於這方面的推行,希望金融業能參考資安院的政府零信任架構,建構新世代的網路安全策略。 數位發展部的政策同樣重視零信任,因為部長唐鳳公布年度施政重要目標時,特別強調2023年就是要以推動零信任架構為主要目標。 儘管資安界提倡零信任架構的網路安全策略已持續幾年,至今仍有不少人對此毫無概念。我們認為,現階段最大的轉變與意義在於,隨著政府公開喊出「零信任」的旗幟,並已有實際動作,將能夠讓我國能有更多產業都關注、重視這方面議題,並且知道很多企業、產業都在往這方向推進。 臺灣無密碼登入有望今年爆發,推向金融與更多產業 除了政府零信任架構推動從「身分鑑別」開始,關於FIDO技術的應用,也開始朝向產業擴展。 基本上,資安院在政府零信任架構的決策引擎設計主要考量,採用FIDO技術的無密碼雙因子方式達到身分鑑別。 另一方面,關於我國政府在FIDO技術的應用,前幾年就已經開始採取這方面的行動。 在2019年10月,內政部資訊中心規畫Taiwan FidO臺灣行動身分識別(簡稱TW…