2022 數位政府高峰會

隨著傳統資安邊界漸趨模糊，駭客攻擊手段日益進化，使政府機關或民間企業都面臨越來越嚴峻的資安威脅，以致全球各國開始倡議零信任架構。現階段臺灣的零信任網路戰略也大致成形，根據行政院國家資通安全會報技術服務中心揭露的資訊顯示，按目前規畫，A級機關須於113年前導入零信任網路存取（ZTNA）。

乍看之下，假使在一個全新環境部署ZTNA確實不難，但若欲將ZTNA融合在既有環境，就顯得困難重重。著眼於此，Palo Alto Networks推出「Prisma Access」，訴求從平台的角度來實踐ZTNA 2.0概念，協助用戶將資安、網路融合在一起，且結合自動化管理機制，讓用戶能藉由單一Console掌控全局，並與既有環境輕易融合，以最快速度真正達到「永不信任、時時驗證」的零信任架構。

沿用傳統資安思維，對決駭客幾無勝算

Palo Alto Networks首席安全長Ian Lim指出，現今各國政府與企業大力擁抱數位創新，積極採用雲端、行動、API、IoT、5G等數位科技。但與此同時，網路攻擊者也留意到應用趨勢轉變，並察覺到這些應用過程會留下諸多漏洞，讓他們有可趁之機。

「網路攻擊者不斷找出新方法發動攻擊，手段變化多端，遠遠超出傳統資安思維與能力，」Ian Lim說，若一味沿用傳統資安工具，就只能被壓著打，毫無招架之力。此時用戶必須建立更主動、更具協同性和全面性的安全策略，來預防、偵測並有效應對各種威脅，既能保護資料中心，亦可保護雲、SaaS、行動終端或供應鏈。

他建議用戶採取一種零信任加上平台的策略，透過零信任消弭現有環境中的「隱性信任」，轉而對所有使用者、設備、連線及行為，採取持續不斷的安全驗證；至於平台，則是從能力的角度出發，將所有不同解決方案統整於統一的工作方式，以便能最大限度提高資安準確性。

善用ZTNA 2.0平台，讓所有異常行徑無所遁形

Palo Alto Networks資安技術顧問陳銓耀表示，所謂ZTNA 2.0，基本上就是SASE解決方案，與傳統ZTNA 1.0（VPN）的主要差異，在於它採取最小權限存取原則，並且持續執行安全檢測，一旦察覺異狀，立即予以斷網。反觀過往的VPN，只要通過身分驗證，不論你是合法員工或是駭客，都可堂而皇之進入內網，做任何想做的事，前後架構確實截然不同。

陳銓耀強調，持續安全檢測不應限於單一或少數面向，例如僅測過防毒、APT就放行，須全面運用不同解決方案，不斷驗證每個連線、每個動作，甚至加入機敏資料過濾技術，讓駭客即便入侵成功，也絕無可能透過網路連線帶走任何資料。

有些人經常感到納悶，為何有些單位已購足資安設備，但仍舊出事上新聞？此乃由於，這些產品都是獨立運作，但隨著現今駭客手段千變萬化，已讓情勢演變到「唯有『融合式資安』能戰勝攻擊者」的地步，甚至不只要求融合各種資安工具，就連網路、使用者都得融合在一起，讓每一塊都不再是獨立邊界。但在融合的前提下，可以預見管理與部署難度因而大增，故Ian Lim一再強調平台概念，即是要破解這道難題。Palo Alto Networks的Prisma Access，便是基於「零信任＋平台」雙重概念應運而生。

舉例來說，從近期某網路資安大廠遭駭事件，便能突顯ZTNA 2.0平台的價值。綜觀此事件，駭客成功入侵後，便迅速在特定系統植入木馬或遠端存取工具，其中包括「Mimikatz」DNS Tunnel工具，顯見駭客算準鮮少人會關注DNS 53埠跑什麼東西，便利用Mimikatz往外輸送重要資料。

陳銓耀說，企業或機構一旦導入Prisma Access，即可透過持續檢測、甚至結合沙箱技術，即時識破有人密集下載大量工具的異常行徑，第一時間予以斷網。另該事件的駭客宣稱取得2.8GB資料，藉由Prisma Access的機敏性資料過濾機制，亦可適時斷絕駭客挾帶機密數據出境的意圖。換言之就算駭客入侵得逞，接下來所有行為舉止，都將在持續檢測之下無所遁形，連帶讓企業或機構受害程度降至最低。

使用者無論身在何處，皆由政策執行點執行驗證

在Prisma Access平台的守護下，今天不管使用者在任何地點發動存取需求，平台都會根據既定資安原則來執行檢測，例如確定開啟EDR才准允連線；若後續使用者關閉EDR，只要一關、就立即違反安全原則，將被強制斷線。同時間，Prisma Access也會一路堅守最小存取權限的原則，針對這個人、這台設備、這個應用程式持續進行驗證，就算此人企圖操作Mimikatz、向外傳送資料，此時平台也會審視對外連線當中的資料或檔案，若確認為機密文件、或有逾越使用者權限的行為產生，就讓傳輸行為戛然而止。唯有嚴格做好每一道管控，才能有效提高安全性。

Prisma Access建構於GCP、AWS等雲平台，為唯一純雲原生SASE架構，好處是可憑藉雲端資源縮放彈性，確保平台運作的穩定性與可用度。其餘優勢還包括：針對每個客戶設置獨立資料流，避免出現某一機構遇駭、無辜鄰居通通遭殃的慘劇。且無論在辦公室、分支據點或遠端的員工，不管欲存取內網資源、上Internet或與連接其他分支據點，皆需透過VPN連接Prisma Access Cloud，接受政策執行點的驗證，再依個別條件判定存取範圍，且針對每筆連線都做安全檢測，讓各地員工都彷彿身處總部，受到最高層級的安全保護；換句話說，任何居家辦公、使用BYOD設備工作的同仁，也一樣接受持續性檢測，不會淪為安全破口。