面對全球資安威脅日益嚴峻,企業與組織IT應用場域的防禦模式,正在轉向到零信任架構(Zero Trust Architecture,ZTA)與人工智慧(AI)安全的融合策略,以確保各種數位化應用得以持續發展。透過AI驅動的威脅偵測與自動化應對機制,結合零信任的嚴格存取控管,企業與組織將能夠建立更強大且具備未來適應性的資安框架,為數位時代的發展奠定穩固基礎,確保營運場景的安全與韌性。
F5台灣公眾事業部業務總監賴尚賢指出,美國國家標準暨技術研究院(NIST)於2022年發布的SP 800-207文件,使全球政府開始關注零信任架構。這一架構的興起,主要受到兩大因素的推動:首先是地緣政治議題的影響,使各國政府更重視網路安全;其次,資訊環境已從單一資料中心演變為多元資料中心,而應用服務則從傳統的Web模式轉向API與Web混合模式。因此,全球各國,包括歐盟、新加坡、日本、韓國及台灣,都在2022至2023年間陸續發布各自的零信任架構指南。
其中,美國國防部(DoD)發布的零信任參考架構2.0版,提出七大支柱(Seven Pillars),包括使用者、裝置、應用程式與工作負載、資料、網路與環境、自動化與協作及可視化與分析,比起NIST的框架更為具體。
至於台灣方面,賴尚賢說明,政府在2022年發布了本土的零信任架構,包含三大核心要素:身分鑑別、設備鑑別與信任推斷,這些概念與美國的NIST和DoD部分相似。賴尚賢認為,未來的資安發展趨勢仍可參考美國國防部的文件,特別是針對AI的發展。隨著AI技術的崛起,企業與組織無法避免將面臨三種不同的應用模式:傳統Web服務、API應用以及AI應用,便可參考美國國防部的策略強調應用程式與工作負載的管理著手,來控管不同應用場景潛在的資安風險。
針對企業與組織的實際應用,關鍵的第一步是進行應用程式的盤點,以便著手確保Web、API與AI應用的安全性。F5台灣區資深技術總監陳廣融指出,API的發展與AI息息相關,使得API安全成為未來資安策略的重要一環。類似於傳統Web安全需遵循OWASP Top 10,現代應用則可遵循OWASP API Security Top 10標準,甚至針對生成式AI(GenAI)的快速崛起,OWASP也制定了Top 10 for LLM Applications規範。企業可依循以持續強化資安治理,並且定期檢視開源程式套件的安全性,避免因未修補的CVE漏洞而遭受攻擊。
F5解決方案發展核心理念為API安全治理,強調「向左移(Shift Left)」的概念,將資安防禦推進到開發階段。陳廣融說明,傳統的資安策略往往著重於部署後的偵測與防禦,而向左移則強調在開發、測試與部署階段即確保API的安全性。F5提供的API治理方案,基於既有的BIG-IP本地流量管理器(LTM)、Web應用與API防護(WAAP),加上新的API分析平台XC(F5分散式雲服務),提供全方位的API安全管理。
陳廣融強調,應用安全的核心在於持續監測與風險評估,透過API分析與流量監控,發掘未受管理的「影子API(Shadow API)」,並透過安全閘道阻擋潛在威脅。此外,針對AI應用的安全,F5開發了AI安全閘道(AI Gateway),有助於防範AI應用程式中的未授權存取與資料外洩事件。