疫情加速產業結構轉變,亦加速了資安數位轉型,在混合辦公逐漸成為新常態下,台灣微軟於10/19至10/23首次舉辦線上「2020 Microsoft Security Summit微軟資安高峰會」,吸引近三千位報名者參與線上盛會,除了分享諸多案例頗析與資料治理等議題,更提出零信任的三大關鍵原則,包括1) 一律不信任地驗證、2) 一律使用最低權限存取、3) 一律假設處於高風險環境;此外,微軟甫發表《微軟數位防禦報告2020》,揭櫫混合辦公資安三大架構:零信任基礎架構、裝置管理和資料治理(Data Governance)與合規性,亦於大會中分享各架構的解決方案與做法,助企業在轉變工作模式時能持續透過智慧資安快速部署,將資安威脅降至最低。
零信任三大關鍵要素 快速掌握現代化資安佈署核心思維
新冠肺炎疫情爆發後,兩個月內就帶動了相當於兩年進度的數位轉型,期間「資安」扮演的控管守門人角色功不可沒。根據微軟調查報告顯示,疫情爆發後十日內,企業為因應疫情主要推動兩大變革:導入零信任架構及業務彈性化,以確保企業核心業務與服務,在面臨疫情威脅期仍可維持安全的正常維運。調查中有54%資安長因業務彈性計畫順利協助企業渡過難關;更有89%企業將50%生產力轉至遠端工作形式,且有42%企業將在疫後繼續採取遠端辦公型態。而隨著工作型態改變,所帶來的資安風險、管理成本將加重考驗企業負擔。同時微軟也發現,為因應疫情,企業在資安預算及招聘人數皆有提高,雲端技術及零信任(Zero Trust) 更是企業未來的投資焦點。
不管是實體或線上網絡,零信任思維涵蓋多重因素驗證MFA (Multi-factor authentication)、裝置維運、應用程序和API、數據、IT基礎設施、網路等六大要素,並將所有員工劃入安全控管範圍。零信任安全結構圍繞三個關鍵原則:
- 一律不信任地驗證:相較於對企業網路中或使用 VPN 連結的使用者及裝置進行隱含驗證請務必採零信任方式,明確驗證每一筆交易,如此即可透過所有可用資料點進行強大的驗證與授權,包括使用者身分識別、位置、裝置維運狀況、服務或工作負載、資料分類與異常狀況。
- 一律使用最低權限存取:僅在人員需要的時候,針對其手邊的工作授予一定時限的權限。
- 一律假設處於高風險環境:將漏洞與企業資產列入預期考量,並套用針對個別區段以即時分析等技巧來加速偵測攻擊。
「微軟一直致力投注資源並全力助客戶部署資安,線上微軟資安高峰會是微軟智慧資安加上產業洞察、客戶經驗汲取後的完整呈現,讓企業了解混合辦公趨勢下如何著力資安佈建,而零信任策略更是首要關鍵。」台灣微軟Microsoft 365事業部副總經理陳慧蓉 表示:「台灣面對5G時代來臨及混合辦公模式新常態,可預見5G將賦予數十億的物聯網裝置新功能以及更多的數據交流,據調查顯示,與2019年下半年相比,2020年上半年的物聯網威脅總攻擊量增長了約35%,因此端點、裝置的身分識別和訪問管理更為重要,也更顯企業超前部署的下個重點,智慧資安部署刻不容緩。」