零信任(Zero Trust)解決方案

無論在何時何地存取資料皆能保證安全

什麼是零信任?

零信任概念最早源自於 2010 年,由 Forrester Research 公司副總裁兼首席分析師的金德威格(John Kindervag)所提出。他體認到既有的安全性模式皆建立在「企業網路中的所有內容都可供信任」的過時假設上,因而提出了零信任概念。

而於 2019 年,Gartner 公司也將零信任列為安全存取服務邊緣(SASE)解決方案的核心要素之一。2020 年美國國家標準技術研究院(NIST)正式頒布標準文件 SP800-207 零信任架構,成為各界採用基礎,其中說明了:零信任網路以決策引擎為核心,包含「身分鑑別」、「設備鑑別」及「信任推斷」 3 大關鍵技術。

零信任安全模型的主要概念是「從不信任,總是驗證」,即使裝置已經連接到經許可的網路並且之前已通過驗證,仍不應預設信任裝置。

零信任網路架構

為什麼零信任如此重要?

在過去,網路安全多是基於物理安全的概念,舉例來說,防火牆和其他防護設備就類似於保護城堡的邊界護城河,能夠通過的訪客都是被絕對信任的,可以任意活動。但是隨著資料與服務雲端化、使用者行動化及存取設備多元化、遠距辦公需求增加,網路邊界防護變得更加困難,傳統基於信任邊界之網路模型(常見的內外網隔離)已難滿足資安與新形態工作需求,一旦有駭客或攻擊者突破了邊界防護,就能夠通暢無阻的隨意取得資料或散播病毒。

相較於從前傳統的網路安全,一旦使用者或設備被授予權限後,此權限就會永久或長時間被保留,可能造成資安風險,零信任則會持續監控使用者身分和行為,以及使用的設備是否具有適當權限,確保組織和企業能維持最佳安全等級

傳統資安防護模型

Openfind 與零信任

針對零信任資安,Openfind 全系列產品與服務打破網路邊界防護的迷思,落實 3A 框架(Authentication 認證、Authorization 授權、Accounting 記錄),主動整合合規的第三方技術,與重要機敏客戶落實零信任網路的發展路徑。

Authentication 認證的部分,Openfind 在系統登入環節整合 FIDO 及生物辨識,並與全景 IDExpert 與 MOTP 等產品整合,加強登入認證的安全性與順暢度。Authorization 授權,則透過產品細緻的權限設計,達到最小範圍的存取與控制。Accounting 記錄方面,Openfind 全產品皆有完善且持續增加的使用及管理紀錄,清楚留下行為軌跡。後續亦將進一步與零信任架構供應商進行整合推廣,讓零信任架構可由裡至外清楚落實。

網擎資訊已有整合支援零信任網路身分鑑別系統部屬經驗,可彈性在地對應、快速整合!

身分鑑別

身分鑑別

  • 鑑別聲明(session-key)驗證
  • FIDO 整合
設備鑑別

設備鑑別

  • 常用裝置
  • 裝置綁定
信任推斷

信任推斷

  • 異常登入 IP 警示與行為分析
  • 登入 IP 限制
  • MailMDR 情資

零信任與產業導入

政府機關 X 零信任

金融業 X 零信任

政府機關 X 零信任

  1. 全球政經趨勢
    • 美國國防部計畫於2027年完成零信任部署
    • 日本數位廳於 2022 年針對政府資訊系統,發布零信任架構適用方針
    • 新加坡發布「網路安全戰略 2021」,指出零信任策略是未來五年發展重點
  2. 資通法與政策指引
    • 資通安全法明確規定
    • 數位發展部部長唐鳳亦表示,推動零信任架構為 2022年 9 大施政重點之一
  3. 防範威脅及攻擊
    • 針對政府機構的駭客攻擊、社交工程日漸嚴重
    • 政府機構的敏感數據資料有可能因此被盜取
    • 提高安全性,應對威脅,確保政府機構的運營和服務的持續性

» 了解更多 政府與公部門零信任與郵件安全解決方案

金融業 X 零信任

  1. 疫後轉型的資安挑戰
    • 疫情調整營運作業模式,出現利用疫情發動的攻擊,如偽冒客戶聯繫居家辦公同仁進行詐騙轉帳等
    • 數位轉型也讓金融面臨更嚴峻的資安風險,如 App、雲端服務、開放銀行、Open API、eKYC 等新興金融數位應用
  2. 金融資安行動方案 2.0
    • 金管會於 2022 年 12 月 27 日發表金融資安行動方案 2.0
    • 延續 1.0 版四大策略外,另增加了 14 項精進措施,包含鼓勵金融機構擁抱零信任架構,強化核心資料保全
  3. 網路威脅持續增加
    • 資安事件頻傳,金融機構仍是攻擊者頭號目標
    • 金融機擁有企業與個人大量資料,若網路安全或數據受到威脅,整個國家的經濟都會可能受到影響
    •  

» 了解更多 金融業零信任與郵件安全解決方案

零信任相關資源

行政院國家資通安全會報技術服務中心

政府零信任網路說明

行政院國家資通安全會報技術服務中心

零信任網路簡介、國際推動現況、我國政策與推動規劃、政府零信任網路需求以及後續作業與展望。協助政府機關與業界廠商了解零信任網路…

《閱讀更多》

金融監督管理委員會

金管會發布金融資安行動方案 2.0 ,引導金融資安持續精進

金融監督管理委員會

金管會鼓勵零信任網路部署,強化連線驗證與授權管控:因應疫情帶動異地/居家辦公模式,及資料與服務雲端化、使用者行動化、存取設備多元化…

《閱讀更多》

資料外洩警訊:採用零信任架構,台灣企業的最佳選擇

產品經理 / 林怡辰

2022 年全球平均資料外洩損失達 435 萬美元,來到歷史最高點,一旦數據被盜取或洩漏,企業將面臨嚴重的財務和聲譽損失。零信任架構能…

《閱讀更多》

掌握 2023 關鍵字:零信任、資安長、數位韌性

PM 部門經理 / 賴濬倩

在充滿不確定性的 2023 年,企業與政府單位如何面對資安及新興議題?Openfind 在產品及服務上提供多樣的支援方式,以下將逐一分享…

《閱讀更多》

把握零信任3A 資安溝通原則 ,讓電郵合規收發

產業觀察員 / 郭欣羽

面對眾多的新型資安規範,落實合規性已經是政府公務機關與企業須持續面臨的管理議題。那麼各產業該著重了解的方向和需求又在哪裡…

《閱讀更多》

簡報下載

與我們聯絡了解更多零信任解決方案與整合案例