零信任網路架構(ZTA)與身分認證
前言
數位身分認證技術為近年來金融科技之重要應用,涵蓋生物辨識、多因子驗證、身分證件比對等主要功能。透過數位身分認證技術的導入,可大幅提升金融科技之易用及便捷性。而另一方面,資訊安全的考量,包含駭客入侵、詐欺以及釣魚網站等等的威脅,促使身分辨識必須加入零信任架構機制zero trust architecture (ZTA)的考量, 網路應被視為不友善的環境,這意味著需要從網路中移除信任元素,因此,設備上的身份驗證將是管理網路安全的關鍵因素。
那到底什麼是零信任架構?為何近幾年在網路安全議題中如此重要?我們可以從美國NIST協會(National Institute of Standards and Technologies)於2020年八月發布的一個關於零信任網路架構的標準文件(NIST Special Publication 800-207)[1]來進行了解,這個新的網路架構針對使用者、設備及網路資源做了新的網路安全上的定義,而這份文件主要將零信任架構做定義且提供了一般的執行模式以及應用範例讓零信任可以改善企業的整體資訊安全技術措施。
在此文章中,我們節錄該標準文件的重點,並且參閱NCSC網站內容,來跟各位分享零信任架構的概念、主要角色以及應用範例
零信任的概念
零信任既不是技術也不是產品,而是一種安全理念。根據NIST《零信任架構標準》中的定義:
零信任(Zero Trust,ZT)提供了一系列概念和思考模式,在假定網路環境已經被攻擊的前提下,當執行資訊系統和服務中的每次登錄要求時,降低其決策準確度的不確定性。零信任架構(ZTA)則是一種企業網路安全的規劃,它基於零信任理念,圍繞其元件關係、工作流程規劃與使用策略構建而成。
而當你從網路中移除了信任,你就更需要從網絡中的使用者、設備以及服務來增加信任度,並且持續不斷的評估這些主要角色的可信賴度。因此,要如何增加信賴度呢?當使用者登錄使用服務前,必須要先在使用者身份/行為以及端末狀態上建立信任,那到底多少信任度才足夠呢?這就取決於傳送的資訊價值,或是這個動作會造成的影響了,所以企業在制定服務使用規範時,可以定義風險的層級以及身份驗證的強度。(了解依據風險層級的驗證設計)
零信任架構的概念準則
零信任架構的概念準則零信任概念由7個準則所組成:
- 所有資料來源和雲端運算服務都被視為資源。
- 無論網路位置在哪,所有通訊都必須是安全的。
- 連結到企業資源的授權是基於單次連接的基礎。
- 對資源的連結是一種動態策略(包括用戶端身份、應用和被請求進入的資產等的可觀測狀態決定,並可能包括其他行為屬性為進入條件)。
- 企業確保其掌握和關聯的所有設備都處於盡可能的最安全狀態,並監控設備資產以確保它們保持在盡可能的最安全狀態。
- 在網路服務被允許之前,所有提出請求的身份驗證和授權是動態的和嚴格強制實施的。
- 企業收集盡可能多關於網路基礎設施當前狀態的資訊,並用於改善其安全管理措施。
此外,零信任理念還包含5個假設
在企業自有的網路上的假設:
1)整個企業專業網路不被視為隱藏式信任區域。
2)網路上的設備可能不可由企業擁有或配置。
3)任何資源本質上都不受信任。
在非企業自有的網路上的假設:
1)並非所有企業資源都在企業擁有的基礎結構上。
2)遠端企業使用者無法完全信任本地網路連接。
零信任架構的要件
ZTA假設網路是無法信任且充滿各種威脅的環境,各種服務以及資料的獲取都需要一一驗證以及授權,因此在這樣的架構下要件如下[2]:
- 多因子驗證MFA (Multi-Factor Authentication)
多因子驗證並不代表使用者體驗就必須是複雜且繁瑣的,相反的是可以用友善的使用者體驗來達到高強度的MFA機制;舉例來說,有些驗證APP提供了推播式(push notification)認證機制,使用者不需要特別去記得一組密碼或是使用硬件式token就可以達成高強度的MFA。
值得留意的是,不是所有的身份驗證因子都是看的見的數字或密碼才行,當導入像是FIDO認證的驗證平台時,可以使用加密式的無密碼登入模式來進行。
- 服務可行性Usability
高強度的身份驗證並不會阻礙到服務的可行性,舉例來說,當遇到需要使用到敏感性個人資訊或是需要權限才能讀取的資訊時,再提供一個額外的驗證措施,包含建立新客戶的案例。依照風險等級來制定驗證方式可以減輕額外的驗證因子所造成的影響,如果用戶的信任等級已足夠,也可以避免額外的驗證因子。無密碼式的驗證(ex.FIDO2)是一個理想的方案,它帶來高強度的安全性以及良好的使用者體驗。
- 服務與服務之間的驗證
服務之間也是需要身份驗證的,通常可以使用API tokens來達成,架構上的像是OAuth 2.0 或是 Public Key Infrastructure (PKI)來做不同平台服務之間的驗證。
相互驗證的機制是必須的,以確保兩方的服務都是正常存在的,這時候可以使用白名單機制,基於身份驗證的基礎來授權服務的連結。
零信任架構的應用範例
零信任架構的應用範例在零信任架構下,尤其在目前後疫情時代,許多企業可能都是透過雲端網路進行企業內部溝通或是跨企業的協同合作,可能會產生以下幾種應用實際範例:
- 企業擁有多個衛星辦公地點
- 多重雲端架構的企業
- 企業總部有契約服務商或非員工身份登入系統
- 分支機構進入總部業務系統操作
- 跨企業協同
結論
我們在零信任架構標準文件中,可以了解到驗證與授權的措施在建構架構中的重要性,因此,身份驗證的技術,以及能夠支援風險控管的驗證方案,是架構中必須導入的。TOPPAN IDGATE在iDenKey身份驗證的解決方案中,根據不同風險等級的網路交易行為,可以設定不同的身份驗證方式對應,並且提供MFA多因子驗證及FIDO認證的方案,幫助金融產業、政府單位以及電信業者在導入零信任架構時,帶來沒有負擔的使用者體驗。
關於TOPPAN IDGATE凸版蓋特資訊
凸版蓋特資訊由一群Fintech 領域好手共同創立,秉持改善市場中”數位身份驗證eKYC”的願景。憑藉多年深耕”數位金融安全”產品的經驗以及經過市場洗禮的成功案例,兼顧金融產業端與終端使用者的需求,提升瞭解決方案全方位的品質。
團隊設計的解決方案帶給客戶最佳的使用體驗。使數位金融服務登入與交易在使用者可確認的安全保障下進行,揮別舊式方法的缺點。優化智慧手機前置鏡頭影像擷取和AI 臉部辨識技術,改善身份驗證流程。聯絡我們
想了解更多嗎?點擊最新解決方案
李家悅 Janis Lee
凸版蓋特資訊TOPPAN IDGATE 行銷經理
[1] https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=930420
[2]https://www.ncsc.gov.uk/collection/zero-trust-architecture/authenticate-and-authorise