編輯部全面捍衛資安的零信任架構與實踐布局
NTT DATA, Inc. 亞太區安全解決方案總監 Meng Keng Lee 及台灣恩悌悌系統資深顧問許家偉分享了企業如何利用零信任架構全面提升資安防護,深入探討零信任的核心理念、應用場景以及企業在面對日益複雜的威脅環境下應如何實施零信任架構。
零信任的核心概念:永不信任,隨時驗證
Meng Keng Lee 強調,傳統的企業網路有著清晰的邊界,安全防禦模式如同堡壘般依賴於隱性信任,只要通過驗證進入內網就可以任意存取。然而,現代的企業網路屬於混合式架構,他以自己從新加坡入境到台灣機場的旅客體驗,將企業網路比喻為國際機場,每個使用者或設備進入不同區域都需要經過嚴格的身份查驗,與零信任架構核心概念相仿,以此有效防止內部和外部的潛在威脅。
為何企業應採用零信任?
在面對日益複雜的資安威脅環境時,零信任架構被視為解決這些挑戰的最佳方案之一。 Meng Keng Lee 強調,隨著雲端運算、物聯網(IoT)及行動裝置的普及,企業的 IT 環境越發複雜,傳統的安全模型已無法有效應對這些變化。零信任能夠通過對使用者和設備進行持續的驗證,來降低企業面臨的網路威脅,同時也有助於優化安全投資,減少過於繁瑣的安全措施對使用者體驗的影響。
零信任的常見迷思與解答
Meng Keng Lee 也分享了零信任的四個常見迷思,包括「零信任就是一種產品」以及「零信任非常複雜難以實施」。他指出,零信任不是一種單一產品,而是一個框架,需要結合身份驗證、設備保護、網路分段等多個層面的協作來達成。此外,零信任的實施需要循序漸進,企業可以從高風險場域開始,逐步推進到整個組織。
實際應用案例:從交通到醫療行業的安全強化
此場議程分享了一些零信任的成功案例,包括一間交通運輸企業在東南亞地區實施零信任安全評估,以及一間醫療機構在開發健康應用時引入「安全設計」原則,確保應用程式的端到端安全性。這些案例展示了零信任如何在不同產業中發揮作用,幫助企業有效抵禦網路攻擊,提升整體的安全水準。
零信任實施的五個步驟
為協助企業邁向零信任架構的目標,許家偉分享了實施零信任的五個步驟:
- 了解 IT 和業務環境:企業需先全面了解自己的 IT 及業務環境,進行現況評估,以確定範圍和規模。
- 記錄業務需求:透過使用者場景和應用案例來記錄業務需求,確保後續技術解決方案符合企業的實施期望。
- 技術合作夥伴:與技術合作夥伴共同規劃技術策略長期發展藍圖,減少單點需求的產品拼湊方式整合,以降低後期維護成本。
- 建立路線圖:依據美國網路安全暨基礎設施安全局(CISA)的成熟度模型,制訂符合技術可行性的零信任路線圖。
- 取得高層支持:高層領導的支持對於零信任計畫的成功至關重要,必須得到全公司的認可與支持。
最後,許家偉說明 NTT DATA 在零信任架構諮詢服務中的全面解決方案,強調了「身份、設備、網路、應用程式與資料」這五大支柱的重要性,並以 CISA 的成熟度模型為基礎,協助企業逐步邁向最佳的資安狀態。未來,隨著威脅環境的日益複雜,企業在推進數位轉型的同時,也必須同步加強資安防護,而零信任將是其中不可或缺的一部分。