傳統的封閉式企業網路已無法滿足現代工作者日常需求,員工需要隨時隨地存取企業資源,供應鏈與合作夥伴的數位連結亦日益緊密,而多雲環境與SaaS應用的廣泛採用,則進一步加深了企業IT基礎架構的複雜性。然而,這些改變同時帶來了資安隱憂,包含網路邊界模糊化、內部威脅增加、憑證與存取權限管理困難,以及應對不斷進化的網路攻擊。為了貼近現代化應用需求,基於雲端平台提供的SASE(安全存取服務邊緣)架構模型,成為企業現代化資安矚目的焦點。更重要的是,藉由SASE逐步落實零信任(Zero Trust)控管策略,以保障新興數位化應用場景安全性。
網路安全架構雲端化
SASE是Gartner於2019年首次提出的架構模型,目的在於將網路與安全機制整合到單一雲端原生平台中運行。傳統的網路安全架構依賴於內部資料中心的安全閘道(Security Gateway)執行防護,但隨著企業IT資源逐步向雲端遷移,這種集中式的防禦架構已無法適應現代應用的分散性與全球化需求。SASE單一雲端原生平台,使企業能夠根據不同使用者的身分、裝置與存取位置,自動分配適當的控制措施。這不僅提升了存取安全性,也能改善遠端員工的使用體驗,讓企業無論員工身處何地,都能確保安全且高效地存取企業應用服務與資料。
SASE核心整合了SD-WAN(軟體定義廣域網路)與多種資安技術,以確保企業網路的全面防護。其中,防火牆即服務(FWaaS)透過雲端部署防火牆功能,取代傳統設備,並提供即時的安全規則更新與威脅防禦能力。入侵偵測防護系統(IPS)則利用威脅情資與機器學習技術,提高偵測並攔截惡意行為的準確度,確保企業內外部網路流量安全。網頁安全閘道(SWG)則負責監控並過濾所有上網行為的流量,防止使用者存取惡意網站或下載不當內容,以減少遭到惡意程式滲透的風險。
此外,雲端存取安全代理(CASB)在企業與雲端應用之間提供額外的安全控制機制,確保未經授權的存取不會導致資料外洩,並且對應用程式的使用行為進行持續監控與風險控管。而零信任網路存取(ZTNA)則透過身分與情境驗證機制,確保每次存取都必須經過嚴格審核,即便是已授權的使用者,也需動態確認風險狀態,以防止內部威脅與帳號盜用的風險。
SASE與零信任打造現代資安架構
SASE與零信任的結合可說是資安架構的一大進化。SASE透過其雲端化的資安服務交付方式,有助於推動零信任架構實現。傳統資安防護依賴「信任但驗證」的模式,也就是在內部網路的裝置與使用者通常被視為可信任,只需簡單的驗證即可獲取存取權限。然而,隨著資安威脅的演進,內部環境已不再安全,攻擊手法變化層出不窮,從社交工程攻擊、勒索軟體到內部威脅(Insider Threat),企業既有的資安控管策略已難以發揮效益。
為了遏制層出不窮的資安事件,零信任的「永不信任,持續驗證」控管理念成為當前顯學,要求不論是內部或外部網路對於數位資產的存取請求,都必須經過身分驗證、多因素驗證(MFA)與基於風險的動態存取控制,確保系統存取的安全性。目前國際間主要參考的標準為美國國家標準技術研究院(NIST)於2020年發布的SP 800-207文件,該文件提出零信任架構(ZTA)的三大核心組件:身分鑑別、設備鑑別與信任推斷,並建議優先導入身分鑑別。
美國網路安全暨基礎設施安全局(CISA)於2023年發布零信任成熟度模型(ZTMM)版本2.0,以NIST SP 800-207為基礎,進一步將零信任架構劃分為五大支柱:身分、設備、網路、應用程式與工作負載、資料,並輔以可視化與分析、自動化與協同、資安治理,三個橫向能力,用以落實零信任控管策略。
例如,在可視性與分析方面,組織需要透過持續監控與行為分析來偵測異常行為,使用AI與機器學習技術來分析存取模式,以識別潛在的入侵行為;自動化與協同則透過威脅情報共享與自動化回應機制,使資安機制能夠即時阻斷可疑活動,減少遭到攻擊影響;治理方面則確保零信任政策的落實,包括身分管理、權限設定,以及合規要求的遵循。
在成熟度分級上,ZTMM將企業的零信任狀態劃分為四個等級,從傳統模式逐步提升至最佳等級。在傳統模式下,企業仍依賴傳統防火牆與VPN來建立安全邊界,身分驗證機制較為基礎,存取控制方式亦較靜態。隨著企業開始邁入初始階段,將引入多因素驗證、設備健康檢查、網路微分段(Micro-Segmentation)等基本防禦措施,以提升整體安全性。
當企業或組織發展到進階階段,則會擴展MFA至防釣魚機制(例如FIDO2),強化設備與網路監控,並提升應用與資料保護機制,使資安管理更為細緻且有效。而在最佳階段,要能夠透過動態信任評估與自動化存取控制,全面應用零信任安全策略,確保組織能夠即時應對資安風險,建立高度彈性的安全環境。
台灣的金管會於金融資安行動方案V2.0中開始納入零信任,制定零信任架構導入參考指引,並要求各金融機構於2024年起進行零信任成熟度評估,確保銀行、保險、證券等機構能夠落實資安強化。在實作方面,指引內容建議金融機構依循「風險導向」與「循序漸進」的原則,優先從高風險場域著手,如遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商管理與跨機構協作等情境。在這些場域中,SASE正可發揮所長,例如透過雲端安全閘道、動態身分驗證與加密通訊機制,強化零信任架構的執行效果,保障數位資產不至於發生未授權存取的風險。在保障資安的同時維持高效能的存取體驗。