文章撰寫:奧登資訊團隊
近期,奧登資訊產品發展部資深經理David榮幸受邀參加由中華軟協舉辦的資安航道‧啟航零信任導入應用解析研討會,並擔任講師。此次研討會集結了眾多行業專家,來共同探討零信任(Zero Trust)的最新趨勢,強調企業及公部門單位可參考的業界評估標準,最後也分享奧登資訊在為企業導入零信任身份架構時遇到的常見問題,協助企業順利進入零信任的安全環境。
企業和公部門單位可參考的業界評估標準
在實施零信任身份認證時,企業和公部門單位可以參考以下幾個重要的業界標準:
國家資通安全研究院(NICS):提供針對台灣本地企業和公部門的網路安全規範,涵蓋了網路安全策略、風險管理、事件應對等方面,幫助組織提升其整體安全性。
NIST(National Institute of Standards and Technology):NIST SP 800-63是美國國家標準與技術研究院(NIST)發布的數字身份指南,為零信任身份管理提供了重要的標準和框架。
CISA(Cybersecurity and Infrastructure Security Agency):旨在保護美國的關鍵基礎設施,包括網路安全最佳實踐、風險管理工具和事件應對策略,這些資源對全球的企業和公部門單位都具有重要參考價值。
DoD(Department of Defense):美國國防部(DoD)發布多項關於網路安全指南,如NIST SP 800-171保護國防工業基礎設施中的敏感信息,對於處理敏感數據和需要高度安全的組織特別重要。
其中,建議可特別參考NIST零信任身份安全 (NIST SP 800-63),該標準詳細定義鑑別保證等級(AAL)、身分確認等級(IAL)和聯合保證等級(FAL),幫助組織評估和選擇合適的身份驗證和管理策略,也建議政府機關導入零信任架構應至少達到IAL2/AAL3/FAL2等級。
零信任身份驗證和管理成熟曲線
能夠幫助企業評估自身成熟度的工具,該曲線包括四階段,每個階段代表企業在零信任身份驗證和管理方面的不同成熟度水平,通過這個曲線來識別其在零信任實施過程中的位置,並制定相應的改進策略。
奧登資訊在零信任導入中的經驗
在為企業導入零信任架構時,奧登資訊考慮了不同產業及使用者的需求和挑戰。根據不同使用者群體,統整出IT管理人員、資安部門和一般使用者的常見疑問和期望:
IT管理人員:導入軟體時,關注自助式重置AD密碼和解鎖帳號功能,以及帳號建立和權限開通方案的自動化。
資安部門:注重防止駭客滲透和網絡AI攻擊,並要求軟體符合ISO、金管會和政府的合規標準。
一般使用者:公司導入雙因素驗證加強安全性時,不希望增加額外複雜性和學習時間。
探索零信任身份認證
零信任(Zero Trust)保持永不信任持續驗證的理念,層層把關每一次的訪問,從而提高整體安全性。而Okta作為領先的身份管理和訪問管理解決方案供應商,在零信任架構中扮演了重要角色,成為企業保護其數據資產的關鍵策略。
奧登資訊產品發展部資深經理David強調:「零信任的基本原則是永遠追求最小存取權限,包含基於時間、行為及模式,但更重要是立刻執行!」奧登資訊長期與國內外業界頂尖的資安廠商保持密切合作,也累積豐富的部署經驗和專業知識,掌握零信任架構的發展趨勢,能夠針對不同企業的特性和數位化階段量身打造最適切的零信任架構,結合廣泛的合作資源,為企業診斷並補足資安防護盲點,協助企業在數位轉型的同時,建構完善的資安防線。
Comments