資料來源:經濟部
以今年7月7日南韓首次公佈的「零信任指南1.0」為基礎,南韓科學技術資通訊部和訊息安全局(KISA)12月宣布示範零信任安全模型,重點關注與民眾生活密切相關的領域,包括通訊、金融等生活領域,落實現有邊境安全,確認建立比模型高一級安全等級的可能性。
此次示範項目是零信任指南1.0中提出的零信任安全模型應用於實際企業網路環境的首個案例,在全球安全企業力爭主導零信任市場的背景下,國內零信任安全有效性的提升安全模型得到測試,透過這一點的確認,為未來的進口替代效應和進一步進入全球市場奠定基礎。特別是,本次準備的模型採用兩種方式進行開發,透過驗證零信任安全模型在「雲端」及「內建」工作環境下的安全有效性,無論何種情況都可以建立零信任安全模型。以下為此次示範的兩種零信任基本模型:
零信任架構為各國資安重點(資料來源:Cisco)
一、雲端工作環境的零信任基本模型
在這個案例中,採用國內外專利的零信任安全模型,在現有的無線通訊和雲端環境中,存在許多DDos攻擊或橫向移動攻擊而導致過度計費等問題,因此需要更高等級的安全系統。為此,將需要保護的服務、伺服器、應用程式和資料進行邏輯分離和保護,並開發和應用全球首個配備策略落實點(PEP)的零信任專用分享器,該模式可以顯著提高安全級別。而國內專業檢測機構參與驗證示範站點的安全有效性,制定97個評估項目,並透過每個項目的現場測試和確認了安全有效性的提升。主要成就是展示由增強的身分治理(Enhanced Identity GovernanceEIG)、軟體定義邊界(Software Defined Perimeter,SDP)、微分段組成的首個三元整合技術,發現主要電信營運商無線網路的零信任應用模型,並打造安全的私有雲端和軟體即服務(Software as a Service,SaaS)使用環境。
二、內建工作環境的零信任基本模型
在這個案例中,採用國內多家領先安全公司參與開發的安全模型。由於疫情促使私人網路的遠端和居家上班迅速普及,但也成為網路攻擊的目標,因此需要採取加強安全的措施。因此,從訪問階段開始加強安全性,對訪問者的安全級別進行評分,並實現動態驗證系統,即使在訪問過程中評分發生變化,也可以阻止訪問或限制可訪問的資源。特別是,基於零信任安全成熟度模型制定檢查項目清單,透過示範站點檢查確認安全有效的提升,並開發現場定制的零信任安全模型,透過與安全的連動,可以應用於各種企業環境解決方案。主要成就是驗證跨用戶、零信任架構(Zero Trust Architecture,ZTA)策略引擎和企業之間的互連,透過安全產品之間的整合實施來驗證系統和應用層級的動態存取功能。
在上述示範專案中,除了每個示範案例參與企業獨立開發和應用的驗證方法外,還有一家專門從事安全有效性驗證的公司參與,以驗證零信任安全模型的客觀安全有效性。為了檢查應用零信任安全模型的示範目標的安全有效性,有開發一個檢查表來檢查改進的安全性和滲透場景,並將其應用於每個站點以確認比之前更高的安全性等級,為推廣系統的零信任安全模型以及開發零信任安全驗證系統奠定基礎。在國際上尚無標準化驗證方法來驗證零信任安全模型的安全有效性,南韓公司研發的零信任安全有效性驗證方法未來計畫進一步發展,為國際標準化做出貢獻。