:::
2024/01/11 

軍事論壇

【軍事論壇】美軍資安轉型 「零信任」全面防護 
美國國防部倡議「零信任」網路接通,整合多種資訊協議和技術的整體網路安全措施,期有效維護資安,在數位戰場立不敗之地。 (取自美國陸軍網站)

  網路的出現改變了人類的生活型態,雖大幅提升便利性,卻也帶來了更多的安全顧慮。在資訊安全意識日益發展的現代網路社群中,新的網路安全架構已成為跨越軍民通訊安全的標準基礎,目的在針對任何嘗試存取網路資源的人員和裝置,執行嚴格的身分權限驗證,無論位於網路的哪個位置,都能有所防範,這就是美國國防部倡議「零信任網路接通」(Zero Trust Network Access,ZTNA)架構的主要概念,整合多種資訊協議和技術的整體網路安全措施。

實施授權等級驗證

 傳統的資訊安全系統會自動信任網路內部的所有人員與內容,但在ZTNA架構下,會實施授權等級驗證,鏈接的資訊裝置除收到內容外,並不會知道網路上的任何其他資源(應用程式、伺服器等)。以往資訊安全是「城堡加護城河」的概念,但在新安全架構中,別有居心者很難從外部獲得特定網路的存取權限,防範攻擊者(駭客)獲得網路的存取權限,阻絕自由支配網路內的所有內容,避免機敏性資料外流。

 ZTNA是一種安全框架,要求所有使用者(無論是在軍事組織內網或外網)在被授予(或保留)對應用程式和資料的存取權之前,必須對其身分的安全性和狀態進行驗證、授權和持續驗證。因為「零信任」是假設不存在傳統的網路範圍;網路可以是本地的、雲端,或是任何地點的有用資源,以及任何位置工作人員的組合或編制,這對於長年派駐大量部隊於海外的美國軍隊通資安全尤其重要。

 這項創新的概念也可用於保護當今「現代化數位轉型」的基礎設施和數據的框架,解決當今軍事單位和大型企業面臨的現代挑戰,包括保護遠端工作人員、混合雲端化環境,和防範勒索軟體威脅。雖然許多資訊供應商嘗試創建自己的「零信任」定義,但來自知名企業(如微軟)的許多標準,可以幫助用戶與自己所屬的單位保持一致的網路安全性。

 ZTNA架構的執行結合先進技術,例如預防風險的多因素身分驗證、身分保護、下一代端點安全,和強大的雲端化工作負載技術,藉以驗證用戶或系統身分、也考慮到當時的存取以及維護的系統安全性。ZTNA架構還考量資料加密、電子郵件安全,以及從裝備和另一端點鏈接,到應用程式之前驗證裝備(單位)資產和端點的安全狀況。

跳脫傳統資安模式

 ZTNA架構與先前遵循「信任但驗證」方式的傳統網路安全性質有很大不同,傳統方式會自動信任網路架構範圍內的使用者和端點,使網路面臨內部使用者的合法憑證風險,從而允許未經授權和有風險的帳號,在內部進行廣泛的存取,造成機敏資料外流。在網路安全中,時間至關重要,愈早發現駭客行為,造成的損害就愈少。根據統計,一般民間企業公司需要大約300天的時間,才能發現並且遏制違規網路行為。這讓有心者可以長時間利用系統,並可能進行資料竊取、監視和破壞。

 近年來,美國國防部面臨的網路安全挑戰愈來愈嚴峻,根據其公布的數據顯示,自2015年以來,即使有嚴密防護,內部已發生逾上萬起網路資安事件,且隨著美國與俄、「中」緊張關係加劇,未來資安事件還會持續增加,因此,美國軍事單位必須加速執行ZTNA架構。

 2023年11月,美國國防部宣布對2027年在美軍單位實施ZTNA架構的計畫進行評審。要完成此目標絕非一蹴可及,而且時間的壓力也很大。加強網路防禦與如何統一架構,並更好地保護自身網路設備,至關重要。

思維與策略的重新定位

 美軍網路安全重組與革新的範圍相當廣泛,軍隊的每個部門都有自己獨特的資訊安全系統和程序,因此,統一安全架構,有如用不同組的碎片組裝拼圖,更加複雜的是,美軍部分單位還有許多上一世紀的舊系統,需要更新以便與ZTNA架構相容。假如軍隊缺乏全面的網路安全防範能力、鏈路安全機制,和跨越多種雲端資料庫設置,就可能對國防資安產生重大影響。

 ZTNA架構轉型成功需要的不只是技術實力,還需要思維和策略的重新定位。美國國防部對ZTNA的設定是「永不信任、始終驗證」,強調不信任用戶和設備,即使它們鏈接到被許可的網路節點,也要由信任轉向審查每一次互動(無論來源為何)的模式。

 美軍認為,資安架構早該進行澈底評估,必須假設可能出現的問題,例如ZTNA架構整合不良,導致解決問題窒礙、使用者體驗變差、存取權限不正確、人為干預和使用規則性變化等。對於美軍龐大且多元化的軍事組織而言,技術革新須更細膩謹慎,國防資訊建設必須保持正軌,特別是更新識別流程、統一新型權限驗證架構等方面。

 在網路架構中,抱持質疑並且進行所有驗證,都需要重新訂定網路安全規範。例如身分需要持續驗證,軍隊可以使用嚴密驗證來精確管制網路存取和資料權限,限制使用者只查詢特定的資訊。同時資料加密、身分驗證和網路流量分段,可增強資訊的安全性。

 若實施ZTNA架構,美國國防部必須確保新架構動化、編排程式和統一規格,是重要的資安措施,特別是在發現安全漏洞時,需要持續監控,並且考慮以人工智慧作為協助解決的方案。

 當然,與老舊基礎設施的兼容性,對於防止資料鏈中的薄弱環節也至關重要。因此,美軍各階層的領導者有責任確保解決方案與舊款軟、硬體順利整合。而且一旦更新,必須測試所有系統並有排除故障的能力。

灌輸保密安全觀念

 而美軍也不會忽略資訊安全架構革新有關人性的一面,必須讓國防部的資安團隊參與至基層部隊,並教導不斷變化的資安環境所必備的技能。簡言之,任何資安計畫都必須包括灌輸保密安全觀念,和定期評估強化在職培訓計畫,當資安事件發生時,能夠迅速果斷地做出反應和處置。對於美軍如此龐大的軍事組織,從上到下重新設計網路安全架構,必須持恆建立工作場所資訊規範和網路安全意識。

 在軍民通用技術大行其道的年代,為確保國防資安,仔細規劃、精心建構資訊安全環境,並且與民用軟、硬體供應商進行相應的合作,已經成為美國國防部未來強化資安的發展方向。目前科技產業的創新和專業知識,可以加速各軍事單位的ZTNA架構發展程序。妥善運用民間企業和一般公共參與者的集體智慧,亦是改善網路安全的方式,並且更能有助於保護所有使用者的資安環境。對於時時面臨網攻威脅的美軍,ZTNA架構能更有效維護資安,在數位戰場立不敗之地。(作者為軍事作家)

:::

PDF電子報紙