依據–第六期「國家資通安全發展方案(110年至113年)」之「善用智慧前瞻科技、主動抵禦潛在威脅」推動策略,將發展零信任網路資安防護環境,推動政府機關導入零信任網路,完善政府網際服務網防禦深廣度。
由數位發展部資通安全署推動規劃投入經費,優先推動A級公務機關導入零信任網路架構環境。
資料來源:行政院國家資通安全會報技術服務中心簡報資料
零信任架構是一種IT系統設計與實施的方法,其主要概念是「從不信任,總是驗證」,即不應預設信任裝置,即使裝置已經連接到經許可的網路或之前已通過驗證。零信任架構的目的是減少資訊系統和服務中準確執行、為每個請求進行訪問權限決策時的不確定性,並面對受損(遭侵入)的網路時提高資安防護能力。
符合零信任架構的原則如下:
- 將所有資料和服務都視為資源。
- 絕不信任網路位置或身分。
- 授予的資源存取權限只限用於當下的連線階段。
- 根據動態的政策來決定存取權限。
- 沒有任何資產天生值得信任。
- 不斷重複驗證是否繼續信任。
- 嚴格執行認證與授權。
- 盡可能蒐集越多資訊。
實現零信任環境的方法可能因政府機關組織的規模、需求和現有的資安架構而異,但一般來說,有以下幾個步驟:
1.評估組織的資產、資料、使用者、裝置、應用程式和基礎設施,並識別最重要和最敏感的項目。
2.根據零信任原則,設計和實施適當的安全性控制,包括身分識別和存取管理、資料保護、端點安全性、網路區隔、加密、監控和威脅偵測等。
3.選擇合適的工具和解決方案來支援零信任架構,並考慮其整合性、可擴充性和可用性。
4.持續監測和評估零信任環境的效能和安全性狀況,並根據變化的需求和威脅調整策略和控制。
數位發展部資通安全署軟體標共同供應契約零信任解決方案
1.終端設備零信任解決方案
2.維運廠商零信任存取解決方案
3.應用程式零信任存取驗證解決方案
4.零信任特權存取管理解決方案
