美國公布實施零信任架構相關資安實務指引
美國公布實施零信任架構相關資安實務指引
資訊工業策進會科技法律研究所
2022年09月10日
美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。
壹、發布背景
此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。
有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。
貳、內容摘要
考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含:
一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft))
主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。
二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft))
主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。
三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft))
主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。
四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft))
此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。
參、評估分析
美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。
此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。
我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。
[1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022).
[2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022).
[3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022).
[4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).
- Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
- Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE
- SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
- NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
所謂「身分」(Identity)是「特徵」(characteristics)或「屬性」(attributes)的組合,可讓個人在特定環境中與其他人區分開來,以證明自己的身分,例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長,線上身分驗證比實體身分驗證更為頻繁,促使犯罪人竊取和濫用身分資訊與資格證明(credentials),使得越來越多人面臨網路犯罪和詐欺的風險,澳洲在2021年時更因為身分竊盜事件橫行,造成超過18億美元的經濟損失。 為此,澳洲資料和數位部長會議(Data and Digital Ministers Meeting, DDMM)於2023年6月23日發布「國家身分韌性戰略」(National Strategy for Identity Resilience),以取代2012年國家身分安全戰略(National Identity Security Strategy),宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力,推動澳洲各州、領地(territory)和聯邦(Commonwealth)採用全國一致的身分韌性方法,使得個人身分難以被竊取,縱然不幸遭竊取,受害人亦能夠輕易自身分犯罪中恢復身分。 該戰略由十項原則組成,包含:(1)無縫接軌的聯邦、州和領地數位身分系統;(2)具包容性的身分辨識機制;(3)個人與公私部門都有各自角色;(4)制定國家實體與數位資格證明標準;(5)建立生物辨識和經同意的身分驗證;(6)便利個人跨機構更新身分資訊;(7)更少的資料蒐集與保存;(8)明確的資料分享協議;(9)資格證明的一致撤銷和重新簽發;(10)明確的問責與責任。搭配短、中、長期的實施規畫,循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。
電子投票機制及法律議題之研究 歐盟有機農民團體反對為新植物育種技術(NPBT)訂定新法歐洲法院(European Court of Justice, ECJ)於2018年7月作出裁定,利用新植物育種技術(New Plant Breeding Techniques , NPBT)誘變(mutagenesis)所得之作物亦屬於基因改造生物(genetically modified organism , GMO),因此須適用歐盟的基因改造生物管制指令(GMO Directive 2001/18/EC)。 對於不涉及外源基因添加的新植物育種技術,是否應視為基因改造生物,並需獨立於添加外源基因之基因改造生物另制定框架,對此引發了強烈的討論,科學界/農民跟環保團體/有機農法之農民之間抱持著相反的態度。 科學界/農民認為,歐洲法院是以近20年前所通過的基因改造生物管制指令所做出的解釋,並未考量該技術進步所造成的差異,其認為新植物育種技術之誘變與自然產生的誘變無實質差異,而需要就新植物育種技術另外進行立法。 歐盟有機農民運動聯盟(IFOAM EU)於2019年7月24日發出聲明,認為若將新植物育種技術排除於歐盟基因改造生物管制指令之適用,將造成有機農業與傳統非基因改造生物之農民無法於農作物生產過程中排除基因改造生物之存在,最終將使得消費者、農民、食品加工者失去選擇非基因改造生物之選擇自由,故樂見歐洲法院之見解。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
何謂公共出借權(Public Lending Right;PLR )?隨著科技及網際網路的普及,扮演著知識保存及傳遞角色的圖書館,在近幾年來因應讀者的需求,逐漸朝向數位化邁進。提供數位化服務對於圖書館的使用者來說,可降低資料蒐集的時間成本。然而,對於著作創作人而言,圖書館若提供數位化服務,可能會造成整個著作市場的失序,著作權人無法由著作市場取得著作權法所賦予的相當報酬,同時因應數位時代來臨所衍生的電子資料庫業者的生存空間亦大幅被壓縮。目前已有28個國家立法承認著作人的租借權,對於圖書館出借館藏造成著作權人的損失,採取補償制度,即賦予著作權人「公共出借權」(Public Lending Right;PLR),對於著作權人因為圖書館出借館藏所可能的損失,予以一定額度的補償,而歐盟亦正醞釀推行統一的出借權制度。依據法源的不同,PLR在實施上會有不同的做法。目前已實行PLR的28國,其立法基礎大致可分為三類:(1) 根據著作權法中租借權的授權,如德國、澳洲;(2) 根據著作權法外的補償權,如英國;(3) 或是透過地方文化機構的補助。 所謂「公共出借權」或稱「公共借閱權」乃指圖書或其他媒體資料,透過圖書館出借給讀者,而衍生政府以補償金或酬金支給作家的一種權利,是一種權利補償金制度。這個制度經濟上的假設是圖書館的出借行為會對於著作在市場上的銷售產生不利的影響,從而減損了著作權人的收入。但因為圖書館出借圖書乃是整個著作權法促進文化發展下所必須的一環,因此,對於著作權人的特別犧牲加以補償。從文化政策的角度來看,是屬於國家對文化創造者所實施的保護與獎勵措施。而基於圖書館對社會大眾提供免費服務的信念,實施公共出借權的國家,皆以政府經費或另設基金的方式來運作,並未直接向圖書館使用者要求收費,也並非以圖書館經費來支應給予作者的報酬。