零信任資安新趨勢：無密碼存取及安全晶片

【作者： 季平】

一般人以為，資安多與軟體有關，其實不然，近幾年發生的駭客攻擊事件已經從軟體延伸至硬體，比方2018年Intel爆發Meltdown、Spectre處理器安全漏洞事件，Spectre漏洞會影響採用Intel、AMD和Arm處理器的相關裝置，產生骨牌效應。類似事件讓所有人更加意識到硬體資安的重要性。

除了軟體，資安還包含硬體安全及資料保存。溫度、濕度、氣候、地震、設備老化、電力不穩等因素可能導致硬體設備故障，伴隨資料遺失或毀損，因應之道包含定期檢視硬體狀態、隨時備份重要資料、設置備用電源或不斷電系統等。此外，也要留意防竊，將硬體設備與外部隔離。資料保存方式不論是雲端儲存、硬碟或USB隨身碟，都應該謹慎面對，特別留意防災、防病毒及防竊。

趨勢科技副總經理暨TXOne Networks執行長劉榮太指出，隔斷與「零信任」是相對好的資安防護策略，宜落實以下四點：1.強化資安防護基本功，如多層次防護及修補漏洞；2.強化伺服器防護並落實嚴格的存取控管；3.建立全方位資安可視性，如端點、伺服器、網路、雲端等；4.遵守「零信任（Zero Trust）」原則。

新世代資安防護策略：零信任（Zero Trust）

2018年，Nvdia Tegra晶片漏洞禍及任天堂(Switch)，名為Fusee Gelee的漏洞藏匿於Switch主機核心Nvidia Tegra X1晶片中，允許駭客執行任意程式，可能波及採用Nvidia Tegra X1晶片的其它裝置。為避免資安威脅導致企業內部網路、個人電腦遭駭，甚至成為加害者，「零信任網路安全」模式應運而生。早在2009年，Forrester首席分析師John Kindervag就提出零信任（Zero Trust Model）資安模式，在零信任環境下，所有網路流量都是「不可信任」的，資安人員須驗證及保護所有資源，限制及嚴格執行存取控管，同時檢測、記錄所有網路流量。

美國國家標準技術研究所（NIST）SP800-207制定的零信任框架ZTA（Zero Trust Architecture）包含身分零信任、帳號零信任基礎下，密碼及金鑰與存取管理密切相關，隨著數位載具與裝置的多元化應用，管控密碼、金鑰成為個人或企業使用者的另一個難題。「無密碼」具有更高的存取安全性，近年來，Google、Microsoft、Apple等科技龍頭都宣布支持全球資訊網聯盟（W3C）的共通無密碼登入標準Passkey(即多裝置FIDO憑證標準)，以確保跨裝置、跨平台、跨系統間存取驗證的共通性。常見的無密碼驗證形式包含生物辨識（如指紋、虹膜）、PIN碼及硬體安全金鑰。零信任、網路安全零信任、網路瀏覽零信任等，以存取控制為關鍵，執行重點包含身分驗證、特權管理、授權機制等。多數IT專家認同：身分存取驗證是零信任安全架構的基礎，在身分確認前，使用者、裝置本身及應用程式等皆應被視為「不可信任」。

重重驗證只為安全。以微軟執行Windows裝置零信任的做法為例，系統會根據使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類及監視異常狀況等所有可用資料點進行驗證及授權；使用Just-In-Time 和Just-enough-access、風險型調適型原則和資料保護等方式限制使用者存取以保護資料，同時防止攻擊者取得存取權，也會透過保護特殊許可權角色、驗證端對端加密、流量分析等方式驅動威脅偵測，以改善安全防禦能力。資訊以密碼編譯方式儲存在安全性共同處理器信賴平台模組(TPM)中，而TPM會使用晶片組上的金鑰/密碼編譯資料與Azure憑證服務進行驗證。

零信任資安新趨勢1：科技龍頭導入無密碼存取

零信任基礎下，密碼及金鑰與存取管理密切相關，隨著數位載具與裝置的多元化應用，管控密碼、金鑰成為個人或企業使用者的另一個難題。「無密碼」具有更高的存取安全性，近年來，Google、Microsoft、Apple等科技龍頭都宣布支持全球資訊網聯盟（W3C）的共通無密碼登入標準Passkey(即多裝置FIDO憑證標準)，以確保跨裝置、跨平台、跨系統間存取驗證的共通性。常見的無密碼驗證形式包含生物辨識（如指紋、虹膜）、PIN碼及硬體安全金鑰。

【欲閱讀更豐富的內容，請參閱2022.11月(第372期)CTIMES雜誌】