網路安全零信任轉型受全球關注,近年臺灣政府已率先付諸行動,推動A級公務機關逐步導入,同時希望帶動本土商用解決方案的發展,讓國內資安產業能在零信任風潮下,擁有一席之地。而這也呼應總統蔡英文任內不斷提及的「資安即國安」戰略,促進臺灣資安產業自主研發能力。
回顧2022年7月,當時的行政院國家資通安全會報技術服務中心(現已納入國家資通安全研究院),首度揭露政府零信任架構網路安全戰略的規畫,說明政府零信任架構將分三大階段進行,第一年聚焦「身分鑑別」,第二年是「設備鑑別」,第三年是「信任推斷」,藉此順序,循序建立起零信任架構中決策引擎的3大核心機制,接下來,數位發展部部長唐鳳在11月公開說明這項計畫,展現政府推動的決心。
轉眼一年過去,如今,我們看到臺灣零信任推動有了更多具體的發展,例如,第一階段身分鑑別驗證,有多家廠商投入,以及相關共同供應契約發布。
同時,我國政府推行強化無密碼登入的態勢,也在持續發酵,自從2019年內政部打造Taiwan FidO臺灣行動身分識別,2021年金管會與金融業及相關單位,共同成立「金融行動身分識別聯盟」(金融FIDO),之後數位發展部在2022年成立,現今這方面的推動情形,更是有著朝向產業擴張的態勢。
顯然,無論網路安全的零信任轉型,以及解決傳統密碼登入安全問題,我國在2023年都有著實質的進展。
領先國際腳步,臺灣從決策引擎驗證做起
近年來,各界幾乎都在推廣零信任架構的網路安全策略。最重要原因,就是隨著APT攻擊更加猖獗,以及企業網路環境的改變,傳統網路安全策略作法聚焦於邊界防護,屢屢遭受不同形式的突破,而且越來越常發生。
於是,經過多年演進的零信任網路安全策略,如今成為主要的因應之道,並廣受認可。其終極目標,就是要大幅降低企業資料外洩災情的發生,以及減少橫向移動攻擊的影響。
自從2020年8月,美國國家標準暨技術研究院(NIST)公布SP 800-207標準文件,幾年以來,我們看到國際間已出現許多具體行動,但臺灣能否重視並跟上這股潮流,成為我們持續密切關注的焦點。
例如,2021年5月,美國拜登總統開始下令,在美國聯邦政府網路安全現代化工程中,祭出導入零信任架構的網路安全策略,兩個月後,美國NIST旗下國家網路安全卓越中心(NCCoE)也開始行動,挑選出當地18家資安科技業者,來幫助設計與演示實施零信任架構的各種方法,如今更是增至24家以上。
最近兩三年,我們看到更多國際科技大廠積極行動支持與響應號召,一方面他們提出自家零信任架構策略,一方面說明自家產品如何朝零信任架構設計,以及這些產品會對應到整個零信任架構的特定環節。
而臺灣本身在2023年有何最新進展?
首先,在政府零信任架構的推動上,根據行政法人國家資通安全研究院資安院(以下簡稱資安院)最新公布資訊,在第一階段的「身分鑑別」方案功能符合性驗證,通過的廠商方案有明顯增加。去年8月,只有2家廠商提供的方案通過驗證,經過這一年下來,已增加到11個方案。
在此當中,前8家均為本土廠商,提供了自家的產品方案,包括:全景軟體、安碁(與歐生全合作)、臺灣網路認證、來毅數位科技、偉康科技、中華資安國際、凌網科技、中華電信。
後續則有外商產品通過驗證,包括:奧登資訊提供OKTA的方案,台灣微軟提供自家方案,以及數聯資安提供Cloudflare的方案。
目前,我們也得知安碁資訊正改以OpenText(Micro Focus去年被併入該公司)的方案,向資安院申請驗證。
因此,單從身分鑑別驗證的現況進展,我們可觀察三個重點:
首先,這些方案將會成為日後政府機關導入的重要參考依據;
第二,政府希望帶動本土商用解決方案發展,但目前出現新變化,因為通過的第9個方案開始出現外商產品。
第三,儘管第二階段的「設備鑑別」驗證已開始啟動,不過目前「身分鑑別」的功能驗證仍在進行。
今年政府採購新增零信任方案項目
特別的是,政府零信任架構的推動不僅止於此,近期我們詢問相關廠商時,了解到另一面向的進展。
例如,在2023年2月,數位產業署軟體採購辦公室展開行動,他們在「112年第三次電腦軟體共同供應契約採購-資通安全服務」標案發布新的組別,名為「零信任網路架構導入及維護服務」。這意味著,政府已經將零信任架構相關納入共同供應契約。
簡單而言,除各單位獨立公開招標,共同供應契約是各級公家機關查詢各式標案或提供採購的平臺,因此,在此替零信任設立獨立組別,具有重大意義。
我們實際檢視該項目的共同供應契約,已有多家廠商參與投標,例如:全景軟體、偉康科技、數聯資安、安碁資訊、中華資安國際、凌網科技,還有自由系統、智域國際、華電聯網、新加坡商網達先進科技、漢昕科技等。
以偉康科技、全景軟體為例,主要提供自家身分鑑別方面產品,凌網提供自家與臺灣網路認證的身分鑑別產品;也有廠商提供多品牌、多類型資安產品,如華電連網提供Darktrace、來毅數位科技、VMware、Palo Alto Networks、Fortinet、F5、CyberArk、Cisco、微軟等廠牌的多項產品,漢昕科技提供高達40多家不同類型廠商產品。
當然,在這波零信任架構轉型之下,不只是政府機關採取行動,金融領域也在鼓勵之列。在2022年12月底,金融監督管理委員會(金管會)正式發表金融資安行動方案2.0,當中一項內容,就是關於這方面的推行,希望金融業能參考資安院的政府零信任架構,建構新世代的網路安全策略。
數位發展部的政策同樣重視零信任,因為部長唐鳳公布年度施政重要目標時,特別強調2023年就是要以推動零信任架構為主要目標。
儘管資安界提倡零信任架構的網路安全策略已持續幾年,至今仍有不少人對此毫無概念。我們認為,現階段最大的轉變與意義在於,隨著政府公開喊出「零信任」的旗幟,並已有實際動作,將能夠讓我國能有更多產業都關注、重視這方面議題,並且知道很多企業、產業都在往這方向推進。
臺灣無密碼登入有望今年爆發,推向金融與更多產業
除了政府零信任架構推動從「身分鑑別」開始,關於FIDO技術的應用,也開始朝向產業擴展。
基本上,資安院在政府零信任架構的決策引擎設計主要考量,採用FIDO技術的無密碼雙因子方式達到身分鑑別。
另一方面,關於我國政府在FIDO技術的應用,前幾年就已經開始採取這方面的行動。
在2019年10月,內政部資訊中心規畫Taiwan FidO臺灣行動身分識別(簡稱TW FidO),也就是依循FIDO標準,來幫助做到政府網站與服務登入的安全與簡化。
就當時的應用而言,在政府便民服務登入方面,初期已有財政部地方稅的民眾網路申報最早啟用;而在政府機關人員系統登入方面,2020年率先有文化部單一簽入入口網支援,後續支援的系統,還有新竹市政府地理圖資倉儲決策支援應用平臺、行政院人事行政總處的人事服務網系統、衛生福利部的精神照護資訊系統,以及法務部的全國公職人員財產生申報系統。
2022年,內政部再推自然人憑證行動化,進一步將原本FIDO無密碼登入與自然人憑證整合,因此,不只是用於便民服務登入、機關人員系統登入,也能運用到公文簽核,年底已有83個機關、127個系統支援。
到了2023年,我們看到最明顯進展在於,隨著2022年數位發展部成立,政府在這方面的推動更是日益積極,例如,打算推廣更多產業採用FIDO標準。
首先,1月數位部宣布加入FIDO國際標準組織,成為內政部之後,第二個加入該聯盟的我國政府機關。
接下來,6月13日,財金資訊公司宣布「金融FIDO」服務上線,這是兩年前金管會宣布成立「金融行動身分識別聯盟」後,正式開始提供泛金融產業共通的行動身分識別工具。
這意味著,過去金融業可能各自在其服務導入FIDO技術,他們發展腳步較快,而在金融FIDO機制建立之下,將大幅增加普遍應用的可能性,並也更容易串聯金融產業、帶動多元創新。
8月15日,在數位發展部數位產業署舉辦的網路信賴基礎環境應用論壇上,部長唐鳳在此場合的談話與採訪,更是透露出三大新重點:
(一)數位部目前內部系統都已經採免密碼登入,像是採用TW FidO搭配行動自然人憑證,登入機關內部網站,在系統上簽署公文,因此,未來會更積極廣泛推廣到其他機關單位。
(二)內政部近日通過「內政部行動自然人憑證系統介接申請要點」修正,最大改變在於,讓TW FidO的服務對象,從原本只有開放電信、醫療產業應用,擴大到只要適用個人資料保護法的機關或非公務機關,都能夠申請串接。
(三)電商產業的用戶安全登入保護機制,也是政府關注重點,希望在FIDO聯盟新推Passkey無密碼登入之下,以及TW FidO串接產業開放之下,盼國內業者要有更多作為。
.png)
政府TW FIDO擴大開放到各行業,可促使無密碼登入日漸普及
最近2023年8月中旬,「內政部行動自然人憑證系統介接申請要點」已通過修正,將服務對象擴大為,適用個人資料保護法之公務機關或非公務機關,也就是說,最初這項服務只有政府單位適用,現在民間企業也能申請,等於加速國內無密碼登入的普及。
醞釀兩年的金融FIDO服務,今年已經完成部署
在金管會「金融科技發展路徑圖」推動之下,「金融FIDO聯盟」在兩年前成立,如今由財金公司與聯合徵信中心協同金融機構導入的「金融FIDO」服務,已在2023年6月正式上線,將串聯金融產業帶動更多元創新應用。
各界認同政府積極推動,但需體認零信任並非單一解決方案
綜觀上述今年新進展,在網路安全策略上,我國正積極推動零信任架構的導入,並規畫從「身分鑑別」、「設備鑑別」開始做起,而驗證通過名單已陸續增至11家,在政府採購的共同供應契約方面,資通安全服務方面,也新增零信任架構導入的組別;而在網路身分識別上,FIDO無密碼的應用也持續擴張,不只是有數十個政府機關系統支援,甚至數位發展部已宣布全面採用,甚至對民間單位也大開介接之門,促使所有受到個資法規範的非公務機關也能申請。
我們也期盼,隨著政府對於零信任、無密碼的推動,已有更高調且實質的推動,將能帶動更多國內產業投入這方面的發展,不論是產品提供或是導入。
特別的是,對於政府零信任架構的推動,我們這次也詢問幾家本土業者,他們有什麼樣的看法?
身為最早參與政府零信任架構方案研發兩家廠商之一的安碁資訊表示,與資安院(前技服中心)的會議討論上,重點主要圍繞在,此項計畫未來是否能順利成功的推行到機關單位。畢竟現有許多資訊系統的系統框架、資料交換與系統應用關聯性錯綜複雜,因此,如何協助機關規畫、建置與採購零信任方案,更是主要焦點,遠多於技術面的細節。
他們認為,今年數發部相當快速地責成軟體採購辦公室做出了相關的規畫,發布新的「零信任網路架構導入及維護服務」共同供應契約項目,相當值得肯定,這代表政府在此項政策推動的決心,因為過去沒有這樣的先例。
同時,此舉也對市場投入一股強心劑,讓產業正面看待此項方案的未來與持續研發,後續就看機關單位編列的預算,是否能夠順利到位,以落實政策的執行與實踐。
另一方面,對於政府推動商用產品投入發展,我們也詢問推出入選零信任架構的3家本土身分安全產品業者,包括:幫助內政部資訊中心建立TW FidO的臺灣網路認證,產品行銷全球16國的來毅數位科技,以及今年剛上櫃、正向印度市場拓展的偉康科技,他們均認為,有政府帶頭推動是好事,畢竟從過去經驗來看,政府的一舉一動是重要指標,能讓更多產業重視。
這是因為,過去廠商其實已經做了很多市場教育,提倡這方面的觀念,但一直不容易被客戶買單,而這兩年在政府鼓吹之下,企業對於這方面的認知的確有所增加;長期以來,許多國內企業多半只會關心同產業間的動作,只要沒有人帶頭,整個產業都會抱持著觀望態度,而不願揭露自己正在使用這樣的資安解決方案。
不過,他們也認為,儘管資安院提出政府零信任架構,但他們在產品開發設計上,主要還是會依照自己的步調來進行,畢竟企業與國際市場的需求與環境不同,而政府零信任架構的設計,是考量我國政府機關現有環境與政策而成,因此,這些廠商仍會依據身分鑑別的驗證項目,提供相應、符合的解決方案。
而且,基於整個零信任架構來看,他們還會關注的重點在於,能否與其他零信任環節產品整合與相容,尤其是後續網路等層面,畢竟各產品業者擅長的技術領域不盡相同,但如果本身有能力,他們也會發展到身分以外的層面。
畢竟,零信任架構並不是只有身分識別這一面向,無法靠單一產品或解決方案就能完成。
從美國國防部零信任執行構面,檢視我國當前「政府零信任架構」涵蓋範圍
機關或企業導入零信任方案並非依靠單一產品即可完成,為了解我國政府零信任架構身分鑑別的涵蓋面,我們以美國國防部制定零信任能力執行路線圖的內容為參照,並請安碁資訊協助指認。安碁資訊表示,圖中紅色方塊即為政府零信任架構之身分鑑別所涵蓋的範圍,我們顯然還有很大的努力空間。