近年數位發展部積極推動不分內外網的網路架構,零信任架構的身分鑑別,以及建立網站韌性,他們是如何做?在8月底舉行的數位政府高峰會上,該單位資訊處副處長周智禾公開了他們的實務經驗。同時,資安院副院長吳啟文也公布政府零信任架構推動的最新進展,第二階段「設備鑑別」即將有產品方案通過驗證
首先,以辦公區而言,數位發展部主要做了兩件事:(一)採取不分內外網的網路架構,(二)讓存取都需要經過零信任架構的身分鑑別。
在具體作法上,簡單來說,數位部員工所有內部與外部連線均經過網際網路,並採用Cloudflare Access、Azure AD(現名Microsoft Entra ID),讓使用者存取內部系統時,先經過Cloudflare身分驗證,並跳轉使用Azure AD進行二階段驗證。
關於實際登入系統的流程,周智禾做出具體說明,一開始會跳出Cloudflare Access的畫面,當判斷使用者還沒登入時,這時會跳出微軟AAD的登入畫面,透過Azure AD來作兩階段驗證。
特別的是,在今年8月前,他們Azure AD的多因素驗證,是以帳號密碼,以及使用Authenticator App來驗證,最近,他們為了進一步提升安全強度,依循政府零信任架構要求,轉為使用基於FIDO無密碼技術的TW FidO來驗證,他們為此也再開發一個驗證機制,其介面就包含了使用行動自然人憑證(TW FidO)來登入,並使用Cloudflare Tunnel方式來保障內部系統,可隱藏伺服器IP位址。
不過,由於並非每個人都有行動自然人憑證,因此,該驗證介面也提供實體自然人憑證,以及臨時密碼的選項,後者主要因應沒帶卡沒帶裝置的情形,該臨時密碼的效期原則上則是24小時。
而在上述過程中,有一個相當特殊之處──雖然TW FidO已經符合多因素驗證,但在這樣的同盟驗證串接之下,後段的驗證機制將被微軟Azure AD視為多因素驗證之一,因此會形成還要再次多因素驗證的情形。
至於後續,對於政府零信任架構的第二階段「設備鑑別」機制部署,這部分他們也正評估使用微軟Intune或Crowdstrike的方案。
其次,以EIP電子公文系統而言,這方面他們推動的是行動自然人憑證簽核,以及內部服務架構的調整。前者的最新的進展在於,數位部持續推行的行動簽核電子公文,範圍將擴至一般公務機密文書,也就是「密」等級文件,行政院在7月7日以同意試辦。
第三,以對外服務網站而言,也就是數位發展部全球資訊網(moda.gov.tw),8月宣布一系列系統強固措施,聚焦網站韌性,以及雲原生等層面的發展,以因應境外網攻、提升網站穩定度。
周智禾也解釋了他們在這方面的作法,並希望將相關經驗提供給其他政府機關。
基本上,他們在系統架構上,選擇融合靜態化、CDN、網頁代管與IPFS,因應網頁內容竄改與網頁回應緩慢的問題,同時採用前後端分離的作法,來因應網站改版需求。
靜態網頁的好處在於,內容顯示時不需經由網站伺服器運算,不像普遍所謂動態網頁,網站要經由網站伺服器從資料庫擷取資料,由伺服器端即時處理。而靜態網頁這樣的架構,適合網站頁面變動性不大,像是官方網站,當然,以數位發站部的全球資訊網本身而言,還是有新聞資訊發布等內容的需求,需要動態呈現,因此透過前後端分離的做法來因應。他們總共花了3個月時間完成這些改變。
對於零信任網路架構與網站韌性強化,數位發展部資訊處副處長周智禾說明了他們在這方面的關於的實務經驗。
政府零信任架構「設備鑑別」即將有首批通過驗證方案,「信任推斷」下半年將召開說明會
關於政府零信任架構的推動,國家資通安全研究院副院長吳啟文也談到了最新的發展概況。
基本上,這項計畫是在2021年啟動,由前技服中心完成零信任架構與概念性驗證機制的研究與部署,去年7月正式公布,預計3年3階段,依序建立決策引擎的3大核心機制,包括「身分鑑別」、「設備鑑別」、「信任推斷」,並將遴選2個機關逐年試行,以推動我國A級機關導入。
隨著一年過去,關於試行方面的發展,吳啟文指出,他們早在2021年已擇定試行機關有退輔會與文化部,後續試行上他們首先遇到的關鍵挑戰,就是該挑選何種資通訊系統來導入試行,雖然可從簡單的系統開始嘗試,但要能真正試行在核心系統才更知道實際效果,在相互討論後,後續決定偏向以核心系統來試行。
此外,去年數位發展部新成立,該單位也從當時8月建置資通系統時導入零信任架構。這方面發展前述內容已經提及。
如今2023年下半剛開始,資安院對於政府零信任架構的未來推動,有甚麼樣的新進度?吳啟文表示,去年已經決定要推動我國A級機關導入,現在更明確的是,將從已導入T-Road的機關為優先來進行。
關於去年開始進行第一階段「身分鑑別」的驗證,至8月底,已有12個產品方案通過資安院的功能符合性驗證。
而在第二階段的設備鑑別方面,吳啟文透露,即將有一家廠商提供的解決方案,將通過功能符合性驗證。
至於第三階段的信任推斷,目前資安院還在規畫,原則上希望技術中立,不要有技術性的限制規定,預計下半年將召開說明會,以徵詢廠商意見。至於後續挑戰上,他也提到導入相容性的問題,這是因為三大核心機制未必由同一家廠商提供,後續導入必需考量相容性與整合的問題。
另外,吳啟文也針對美國CISA與美國國防部的最新推動情況做出說明,他們也已經將我國採行措施與之相比對,以瞭解我們在哪些面向的進展比較弱,成為未來我國後續推動的重要參考。
近年已有多國宣布將零信任網路安全納入國家戰略,包括美國、歐盟、新加坡、中國,當中又以美國最為帶頭與積極,自從2021年5月美國總統拜登簽署行政命令(EO 14028),再到2022年1月「聯邦零信任戰略」(Federal Zero Trust Strategy)草案通過後發布M-22-09備忘錄等一系列作為。
我國也在2021年由前技服中心完成零信任架構,與概念性驗證研究及部署機制,並分3階段推動商用系統符合產品驗證以及機關導入。
關於政府零信任架構推動一年多的現況,國家資通安全研究院副院長吳啟文指出,如今在身分鑑別的導入方面,首要推動的A級機關將以完成導入T-Road的機關先做起。
