0

9
2

文字

分享

0
9
2

駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮——台科大教授兼資通安全研究與教學中心主任查士朝專訪

科技大觀園_96
・2021/09/09 ・3916字 ・閱讀時間約 8 分鐘

現今,人們對於網路的依賴性大,尤其是疫情影響下的社會,各家企業紛紛採取居家辦公,此外,日常中的網路銀行轉帳、購買日用品、電子信箱等功能均需利用網路。但網路便利的同時,伴隨而來的就是,個資外洩、網路上的購賣身分遭到惡意人士盜用,魔鬼藏匿於網路的角落,緊盯著各個使用者的活動,看看誰是下一個受害者。

為了層層把關網路上的潛在危機,零信任架構 (Zero Trust Architecture,ZTA) 出現了!ZTA 是一種資安防護的新概念,打破了傳統以邊界(例如防火牆)區分內網及外網的資安型態。今天,想長點 ZTA 的新知識嗎?跟著查士朝教授的腳步來探索一下這個酷東西吧!

查士朝教授小簡介

查教授是台灣大學資訊管理博士,曾任職於意藍科技資深技術顧問,於資誠企業擔任資深經理。現為台灣科技大學資訊管理系教授,同時也身兼資通安全研究與教學中心主任。查教授獲得許多國際資安認證,近年致力於資訊安全相關研究,參與多項產學合作計畫,並協助政府建立資訊安全管理制度,並發掘系統資安漏洞以研擬推動智慧型手機應用程式安全與物聯網裝置安全檢測標準。

查士朝教授近幾年於資訊安全制度訂定及設計發想貢獻良多。圖/查士朗教授提供

ZTA 的誕生與發展

2003 及 2004 年間,傑里科論壇 (Jericho Forum) 為了達到網路資源於企業間共享的目的,因此想出了消除企業與企業間的網路邊界,但這個做法也造成了網路安全的漏洞,而解決這個漏洞的技術性方案就是 ZTA 的最初架構。可以說是無心插柳,柳成 ZTA 阿!但是,這個論壇當初提及的 ZTA 概念還是滿抽象的,因此,Forrester Research 前副總裁 John Kindervag 於 2010 年提出了具體的概念,他提出了三大核心理念:(一)裝置不再有信賴與不信賴的邊界 ,(二)不再有信賴與不信賴的網路,(三)不再有信賴與不信賴的使用者。而實際上的做法需要四大核心元件:

  1. 網路分區閘道 (Network Segmentation Gateway):當前的網路需要透過許多安全設備來保護其整體環境及數據,例如我們最常見的就是防火牆,還有為取得公司或機構內部存取權所需要用到的工具 VPN 。而 John Kindervag 想要開發出一個結合所有安全設備特性及功能的網路分區閘道(最強守衛者的概念),並將安全性構建到網路的架構當中,以安全的方式正確分割網路資源。
  2. 創建平行且安全的網路分區:打破以往防火牆只一分為二,阻隔外界及保護內部的功能。這裡運用的是微核心邊界 (Microcore and perimeter, MCAP) (圖二),你可以把它想像為「保護套」,將你想保護的資料都個別套起來,像是使用者端、網路應用、資料獲取網路都自己有一層保護套。如此一來,將資安防護不再單單只靠一層防火牆,而是個個資料、系統都有盾牌可以做自我保護。
  3. 網路後臺集中管理:承第 2 點提及的「保護套」,網路後臺是擔任管理這些微核心邊界 (MCAP) 的角色,增加操作上的便利性。
  4. 建立數據蒐集網路以掌控網路整體狀況:對於修繕故障網路的人來說,要能有效取得數據包是件非常困難的事,但在零信任網路中採用數據蒐集網路 (data acquisition network, DAN),此種方法結合網路分區閘道,能有效採集各個微核心的數據,加速數據取得以便日後故障修繕。
微核心邊界 (Microcore and perimeter, MCAP) 使整體網路環境又多一層保障。圖/查士朝教授提供

此外,美國國家標準技術研究院 (NIST) 也量身打造 ZTA 的標準指南 SP 800-207,時至今年美國政府所公布的網路安全策略中也包含了零信任架構,甚至要求美國聯邦政府網路導入零信任架構的網路安全策略,足見零信任網路架構在整體資安領域上佔有一席之地。當中,SP 800-207 講究七大原則:(1) 識別可存取資源;(2) 確保連線安全;(3)妥善存取控制;(4)考量存取者狀態;(5)了解資源狀態;(6)監控裝置與資源風險;(7)持續收集資訊與改善。

現今資訊安全防護存在什麼樣的漏洞?ZTA 如何防範的資安危機?

新聞報導資安危機事件層出不窮,於個人,個人資料被盜用、信用卡被盜刷;於企業,美國淨水廠系統及最大燃油管系統、銀行 ATM、國內科技大廠都曾遭受駭客及勒索軟體襲擊;於國家,國安危機更是重大事件。查教授講道過去的資安架構,往往只是透過防火牆等相關架構,將安全與不安全網域劃清界線,並且只注重防範邊界,無法防止內部橫向擴散。然現今惡意駭客早已能夠輕鬆越過此界線,橫行於安全網域之中。

疫情下的遠距辦公,使駭客能趁機憑藉多種管道盜取企業內部資源。圖/查士朗教授提供

因此,ZTA 雖說是打破邊界,更貼近的說法則是將邊界切得更細。舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。除了監視,要防範惡意者,也必須判斷其活動並及時阻止惡意行為,因此查教授特別講解了 ZTA 的「大腦」和「手」,政策落實點 (Policy Enforcement Point,PEP) 是 ZTA 的手,當使用者發出存取公司內網資源的要求時,PEP 會先接收到這個訊息,並將此訊息傳遞給政策決策點 (Policy decision point,PDP) (也就是 ZTA 的大腦)決定是否允許這位使用者的要求,在 PDP 下達決定後,PEP 便會聽從這個決定做出相應的舉動。而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。

政策落實點 (PEP)及政策決策點 (PDP)是 ZTA 的核心機制之一。圖/查士朗教授提供

ZTA的迷思

迷思一:零信任架構=完全不信任任何使用者?

ZTA 是為了防止有心人士在進入企業內網後就能肆意做出任何惡意行動,但如果你是一個正常的使用者,只要通過認證,ZTA 還是會信任你的。

迷思二:ZTA 真的方便用嗎?會不會一直需要驗證?

查教授回答道 ZTA 通常會以連線為基礎做出行動,若是新建立連線必然要經過一次驗證,之後便會自動存取使用者驗證,並依照各家企業規定設定間隔多久需再驗證一次,所以不見得都要一直驗證。

迷思三:ZTA 在驗證、授權的過程中,均需要取得使用者和其使用裝置的相關資訊,是否會引發隱私權益問題?

查教授仔細講道,若是疫情下在家工作,使用自己的私人電腦連線公司內網,ZTA 確實有可能會看見私人電腦上的隱私資料。但是最簡單的解決方法,就是使用公發電腦或設備,這樣就不怕自己電腦的東西被看光光囉!

迷思四:ZTA 可以完全取代 VPN?

查教授表示 VPN 在零信任架構中是連線工具而非安全工具,VPN 固然是遠端連線的常用工具,但它的存取權限非常有限(通常不會讓使用者從外部透過 VPN 碰到公司重要資源)。因此,ZTA 和 VPN 的作用其實是各司其職,VPN 負責連線,ZTA 則是負責公司內部重要資源保護與防範安全。

ZTA 的未來展望及挑戰

查教授認為目前主要有兩項挑戰:一、要達到零信任架構的整合,以現在的設備發展,不太可能把所有的設備都換掉,因此如何將既有設備整合到零信任架構、達到相關要求是一個重點。二、上述所提及的信賴演算法訓練程度也是一大重點,它是 ZTA 的核心,假使訓練得宜,安全防護加倍,反之,問題可就大囉~另外,ZTA 在台灣可說是百家廠商爭鳴的主推架構,但查教授認為更重要的是,普及 ZTA 的概念宣導讓社會大眾理解其運作模式,如此,對於個人,能免於受到財務或個資損失;對於企業,能成為永續運作的一環,免於資安問題而殃及利害關係人權益;對於國家,不但能領先於資訊戰,更能提供民眾穩定、信賴的服務,維護公有設施系統的穩定性。ZTA 是新型態的保護概念,不單單只局限於個人研發上的努力,更需整體社會、企業、政府的致力推動方能共創榮景。

查教授給有志投入資安產業者的勉勵

查教授真切地說道資安的領域很廣,涵蓋了技術、管理、稽核層面,當然甲方和乙方的需求也不一樣,若想知道自己適合哪個領域、哪個職位,首先必須清楚自己的個性,究竟是穩定型,還是喜歡探索開發型。但無論如何,做資安產業的人個性都要正直,並把基本功打好。

結語

很榮幸這次邀請到查士朝教授探討關於 ZTA 的概念,透過教授清楚仔細的講解,想必讀到這邊的讀者們已經收穫滿滿,ZTA 雖然起初設計的基礎是建立在企業上,但查教授認為未來也可能透過多因素身分認證 (Multi-factor authentication, MFA) 廣泛運用於個人資訊系統。ZTA 的發展指日可待!

參考文獻

文章難易度
科技大觀園_96
44 篇文章 ・ 578 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

8
1

文字

分享

0
8
1

「駝背、變矮、下背痛」是骨質疏鬆警訊!及早治療以免骨折造成失能

careonline_96
・2021/09/21 ・2705字 ・閱讀時間約 5 分鐘
駝背、變矮、下背痛,當心骨質疏鬆警訊,以免骨折害性命!骨科醫師圖文解析

李女士是活動力很好的人,到了六十多歲依舊忙進忙出。這天她如往常般彎腰搬起一個箱子時,突然感到背部劇痛,整個人跌坐在地,完全站不起身,最後只能在救護人員的協助下抵達急診室。

「聽完病人的描述,我們大概就可以猜到是因為骨質疏鬆,彎腰搬重物所造成的脊椎骨骨折。」義大醫院骨科部脊椎科楊士階醫師表示,「骨質疏鬆患者因為彎腰搬重物所導致的脊椎骨折比較常發生在胸腰椎交界的地方,若是在滑倒時用手去撐地,可能骨折的部位是手腕關節,或是髖關節的股骨頸。」

骨質疏鬆症是全身性骨骼疾病,會在無聲無息中逐漸惡化,倘若沒有接受檢查,患者大多沒有自覺,楊士階醫師說,很多患者都是在骨折突然發生時才發現嚴重骨質疏鬆。

骨質疏鬆本身雖然不會致命,但是在骨折之後,患者可能被迫臥床且疼痛難耐,生活品質大受影響,各種併發症也會接踵而至。根據統計,髖部骨折患者一年內的平均死亡率高達 22% [1],對中老年人而言,是不容忽視的健康威脅。

此外,在骨折之後,患者可能會失能,甚至得完全仰賴他人照顧,為個人及家庭帶來沉重的負擔。

台灣人口逐漸高齡化,楊士階醫師強調,及早發現、積極治療,才能預防骨質疏鬆症造成的危害。

三項自我檢查,及早發現骨質疏鬆

骨質疏鬆症常發生在停經後的婦女,大概五十多歲,楊士階醫師指出,不過較高齡的老人大概六十五歲以後不管男性、女性都有可能出現骨質疏鬆。2005〜2008 年國民營養調查報告指出台灣 50 歲以上男性與女性,以雙能量 X 光吸光式測定儀檢測骨鬆症,分別為 23.9% 及 38.3% [2]。

我們可以替自己或家人先做個簡單的評估,如果有駝背現象、身高變矮 4 公分以上、常常感到下背疼痛,就要懷疑有骨質疏鬆的問題。

骨質疏鬆警訊要注意

年紀較大或出現骨質疏鬆警訊的民眾,務必盡快就醫,楊士階醫師說,檢查骨質密度可以利用定量超音波骨密度檢查儀或雙能量 X 光吸光式測定儀(dual-energy X ray Absorptiometry,DXA),超音波檢查的速度較快、便利性高、沒有侵入性,X 光檢查的準確度較高,能夠針對脊椎與髖關節進行掃描,檢查時間大約 15〜20 分鐘。

骨密度檢查的報告會標示 T 值(T-Score):

  • 當 T 值大於或等於 -1.0 時屬於「正常」
  • 當 T 值介於 -1.0 至 -2.5 之間稱為「骨質缺乏(osteopenia)」
  • 當 T 值等於或小於 -2.5 時,稱為「骨質疏鬆症(osteoporosis)」。
  • 如果患者已有骨折發生時,稱為「嚴重性骨質疏鬆症」。

運用骨密度檢查我們可以利用較客觀的數據了解骨質的狀況,楊士階醫師說明,如果骨密度檢查屬於骨質缺乏、甚至骨質疏鬆,建議要接受進一步的治療。

國際骨質疏鬆症基金會也有製作骨折風險評估工具(Fracture Risk Assessment Tool,FRAX),填入年齡、性別、體重、身高、骨折病史、父母髖骨骨折病史、抽菸、類固醇使用、股骨頸骨質密度等資料,便能估算未來十年發生骨折的風險。

積極治療骨質疏鬆,預防骨折

我們骨頭中具有造骨細胞與破骨細胞,造骨細胞(Osteoblast)會產生新的骨質,破骨細胞(Osteoclast)則會吸收骨質,讓骨頭一直處在動態平衡的狀態。

楊士階醫師解釋,想要治療骨質疏鬆,可以從這兩個方面著手,抑制破骨細胞或刺激造骨細胞。

抑制破骨細胞的藥物包括雙磷酸鹽、雌激素、選擇性雌激素調節劑、RANKL 單株抗體、抑鈣素等,可以減少骨質被吸收。

刺激造骨細胞的藥物源自人類的副甲狀腺素,可以促進造骨細胞生成骨質,需要每天皮下注射。

積極治療骨質疏鬆

目前還有一類藥物屬於雙重機轉藥物,能夠降低破骨細胞的骨質吸收作用,且能增加造骨細胞的骨質生成作用,有助降低骨質疏鬆患者發生骨折的機率。接受骨質疏鬆治療時,請記得每天要補充鈣質與維生素 D。

預防骨質疏鬆,可以這樣做

隨著年紀增加,骨質會持續流失,我們要從年經時便增高最大顛峰骨量,預防骨質疏鬆,楊士階醫師說,日常生活中請盡量減少骨質疏鬆的危險因子,包括戒菸、戒酒,也要減少咖啡因的攝取。

每天攝取足量的鈣質與維生素 D,有助維持骨骼健康。國際骨質疏鬆症基金會建議,50 歲以上成人每日鈣質攝取量須達1200 毫克,維生素 D 攝取量須達 800 至 1000 IU 國際單位(international units,IU)[2]。

鈣質必須由食物中獲得,富含鈣質的食物包括乳製品、豆類、深綠色蔬菜、海帶、香菇、堅果、芝麻等。

接受日照後,身體可以合成維生素 D,每天要適度接受日照,食物方面可選擇牛奶、起司、蛋黃、海水魚、淡水魚、蕈菇、黑木耳等。

倘若無法由食物中攝取足量鈣質與維生素 D,便可適度補充。

預防骨質疏鬆,可以這樣做

負重運動有助增加骨質密度,肌力足夠也能改善平衡、減少跌倒及骨折風險。從年輕便養成規律運動的習慣,好處多多!

貼心小提醒

骨質疏鬆是每個人都可能遭遇的問題,由於骨質流失時通常沒有明顯感覺,很多患者都是在骨折發生後,才驚覺患有骨質疏鬆症,楊士階醫師叮嚀,如果具有危險因子,如年紀較大、抽菸、飲酒過量等,或是觀察到有駝背現象、身高變矮 4 公分以上、常常感到下背疼痛,建議就醫接受骨質密度檢查。
如果有骨質缺乏、甚至骨質疏鬆的狀況,務必定期追蹤並積極接受治療,以降低骨折及其他併發症發生的機會!

本衛教文章由台灣安進協助刊登

參考資料

  1. Downey C, Kelly M, Quinlan JF. Changing trends in the mortality rate at 1-year post hip fracture – a systematic review. World J Orthop. 2019;10(3):166-175. Published 2019 Mar 18. doi:10.5312/wjo.v10.i3.166
  2. 2020台灣成人骨質疏鬆症防治之共識及指引

careonline_96
5 篇文章 ・ 11 位粉絲
台灣最大醫療入口網站
網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策