HW2 CYBERSEC 2021 心得報告

Group content visibility: 
Use group defaults

       我在5/6去參加CYBERSEC 2021臺灣資安大會,展場內有許多企業及品牌,有種大開眼界的感覺。當天我聽了一個講座,題目是「零信任(Zero Trust)的資安新思維」,我覺得講者講得很清楚,我也學到很多東西。

       為什麼「零信任」思維會崛起?因為資安基礎建設正飛快地成長,以及去年疫情的爆發,遠距辦公與駭客的攻擊也跟著同步在改變,「駭客正在用更簡單的方法,製造更大規模的威脅」,包掛憑證外洩、網頁應用程序漏洞、萬物聯網的環境改變等等,所以我們需要新的安全方法來解決網路威脅。傳統上,我們在畫分安全性等級時,往往單純以「內」與「外」來區隔是否信任,但是,現在的網路邊界漸漸模糊,我們再也無法輕易透過這種二分法,來界定安全防護的實施方式,於是,零信任(Zero Trust)這種看似極端卻不得不然的控管概念,應運而生。

       零信任的設計邏輯為「Least-Privilege Access最小訪問權限」,無論訪問請求來自何處,都會為每次訪問請求建立信任,可以確保只有正確的用戶和設備才能訪問正確的應用,也防止攻擊者進入網站後,在網路內任意橫移已達到目的。它可以應用的場景包含:

  1. Zero Trust for the Workforce安全遠距存取:釣魚攻擊、惡意軟體、憑證盜取、遠距存取安全、端末設備安全
  2. Zero Trust for the Workloads安全多雲存取:完整的應用程序可視性、全面的政策執行、遏止違規侵入存取行為、防止橫移行為
  3. Zero Trust for the Workplace網路可視性與分段:獲得完整的網路可視性、防止未經授權的網路存取、防止惡意侵入行為

       或許零信任乍聽起來充滿了不確定性,但透過與 FIDO 的結合,就能在提升安全性的同時兼顧方便性,無死角的保障企業內部資料。零信任安全架構採取了無密碼驗證的概念,相關的原則如下:

  • 服務存取權非由連線的網路決定
  • 根據使用者及其裝置的相關要素授予服務存取權
  • 不論存取任何服務,都必須經過驗證、授權及加密程序

       總歸來說,零信任安全架構就是為了層層把關來及早發現駭客入侵,以及找出為何被駭並立即修復,而跨多雲的存取也是現在需要被多加關注的重點。在全球化的時代,零信任將逐步成為一種資安型態,而台灣在零信任安全架構這一塊的發展才剛剛起步,長遠來看,未來還有很大的發展可能性。