美國國家標準暨技術研究院零信任框架 NIST SP 800-207
2018年,美國國家標準暨技術研究院(National Institute of Standards)and Technologies,NIST)發布了 SP 800-207 文件,標題為「零信任架構」(Zero Trust Architecture),定義零信任為「在面對易受攻擊的網路中,一系列的概念及作法,設計用來減少在資訊系統或服務中,準確地執行每次的存取請求的不確定性。」
另外由英國國家網路安全中心(National Cyber Security Centre)提出的零信任架構準則包括:使用者身分的單一強來源、使用者認證、機器認證、額外情境,如政策合規及設備健康、應用程式的授權政策、應用程式的存取權限政策。
零信任安全基礎原理
具體的零信任安全實行需要多因素認證(multi-factor authentication)、身分保護(identity protection)、端點保護(endpoint security)、雲端認證、系統安全維護等技術,也需依照安全強度考量資料加密保護、電子郵件安全、端點認證等,且在每個環節中,以「從不信任,總是驗證」為準則,並在預設時段後重新進行驗證。
零信任安全中提及身分認證為整個框架的起手式,認證為設備連線的第一道手續,其認證強度也會決定整個系統暴露於潛在威脅的程度,因此,身分認證為零信任中不可或缺的一環,而美國國防部在2021年,以及美國聯邦在2022年,針對身分認證及零信任,提出了革新的實施辦法。
身分認證在零信任安全的角色
美國國防部在2021年2月發布一篇零信任基礎的文件,文件名稱為 Department of Defense (DOD) Zero Trust Reference Architecture,其中提到零信任模型的原則為「不論運作於外部或內部安全範圍,沒有任何單位、系統、網路或服務可被信任,所有試圖建立連線和存取的設備或單位都需被驗證。」
美國聯邦政府隨後於2022年1月釋出一份備忘錄,名稱為 Moving the U.S. Government Toward Zero Trust Cybersecurity Principles,旨在強調美國聯邦政府無法再仰賴傳統的邊界保護(perimeter-based defenses),應著手投資零信任安全,若要符合美國國防部零信任參考框架,則需採取安全強度更高的企業身分認證。其中多因素身分認證被點名為落實高安全強度的認證機制。其詳述多因素身分認證必須能抵擋釣魚攻擊,而強度較弱無法抵擋釣魚攻擊的電話簡訊、語音通話、一次性密碼或彈出通知不應續用。
「抵擋釣魚攻擊的多因素認證」(phishing-resistant MFA),其技術原理不僅僅針對釣魚攻擊,還包括時常被連帶提及的中間人攻擊、欺騙攻擊、社交工程。備忘錄提到,實現該安全需求最簡單的方式為PIV智慧卡,為美國政府根據 NIST SP 800-73 規格設計的身分認證智慧卡。其技術採用公開金鑰基礎建設(PKI),為聯邦人員進行身分認證的載具。然而,一般資訊系統或場合不會擁有聯邦發行的 PIV 卡,要額外導入公開金鑰基礎建設則需第三方公正單位派發憑證及繁瑣的行政流程及技術整合。因此在備忘錄中,有另一個零信任多因素認證解決方案被提及,也就是FIDO2 及基於網路身分認證的認證器(Web Authentication-based authenticators)。
匯智安全在FIDO2及零信任安全的角色
FIDO2和PKI皆以密碼學技術為核心,可驗證真實性、不可否認性,藉此防釣魚網站攻擊。FIDO2身分認證框架可成為PKI的替代方案,建立PKI工程浩大,而FIDO2可快速導入,並達到相同水平的資安強度。
一向以密碼學為核心技術的匯智安全科技,在一年內連續取得FIDO2 Level 1 及 Level 2 安全金鑰認證、U2F Level 1 及 Level 2 安全金鑰認證、FIDO2 Server 認證。現在則以「賦能」為核心業務及使命,和中華電信合作,協助導入FIDO2 EA (Enterprise Attestation),為企業中管理認證設備的唯一解方,同時導入FIDO2晶片於智慧光的卡式安全金鑰,也已成功合作打入國際市場。
結合台灣硬體製造優勢,匯智安全正在打造獨步全球的FIDO生態系,目前已有FIDO2 認證伺服器、USB安全金鑰、卡式安全金鑰(BLE/NFC)、手機生物辨識(指紋/Face ID)、安全晶片,以及全球唯一支援FIDO2最新規格的解決方案,可讓企業輕鬆管控內部認證設備,並提供認證諮詢,讓企業短時間內取得FIDO2認證。
匯智安全FIDO2生態系,讓企業快速導入無密碼以及多因素認證,省去研發資源及人力成本,更多資訊請參考 FIDO 全面賦能。