产业分析－零信任AI加持 微网段＋自动化防护扮资安要角

零信任资安意识成主流，实现更全面的资安防御。图／摘自Unsplash

随着云端技术、行动设备和物联网应用的普及，网路攻击、病毒、盗窃、假冒等威胁也增加，这些威胁对个人、企业和国家都可能带来严重的损失和风险。传统建立在内部网路信任基础上的资安防御已不再可靠，如今零信任资安意识已成为主流，在每个环节都要进行身份验证和授权，实现更加全面的资安防御。如何设计微网段网路架构，并透过人工智慧（AI）技术自动化强化资安系统，已成为防护战略计划的关键。

零信任自动化网路控管，是一种「永不信任，一律验证」为原则的资安架构，运用自动化网路控管方式，来达到无人值守的目的，同时搭配微网段的网路架构，做好网路安全隔离的工作。依据美国国家标准技术研究院（NIST）发布的NIST Special Publication 800-207 Zero Trust Architecture标准文件探讨了ZTA所必需的三个重要关键技术，包括：进阶的身分治理、微网段，以及软体定义边界，显见资安管理微网段的重要性。

■微网段网路 可限缩网攻的影响范围

与传统的网路架构相比，微网段网路的优势，例如提高控制性与可视化管理，将网段切得更细小，更精确地区分每个网段设备所需的安全性层级，及实施安全策略。同时可限制攻击者攻击范围，微网段使攻击者难以在网路内横向移动并破坏多个系统。若确实发生攻击事件，该攻击事件的影响范围会被限缩在单个网段，而不是整个区域网路，降低攻击伤害力。此外，若透过使用软体定义网路（Software Define Network；SDN）和网路虚拟化技术实现的微网段网路，还能让网路管理员能够动态的创建和管理网段，保护现代复杂网路环境下有更灵活且可扩展的资安管理。

2016年的Mirai僵尸网路攻击，利用了许多不安全的联网摄影机和路由器，将它们变成了大规模的攻击工具，瘫痪了许多联网服务，包括社交媒体和电子邮件服务，最高峰的时期操控了数十万台的物联网装置。物联网装置的快速增加意味着更多的攻击弱点产生，尤其物联网装置的布建和使用，常需供应商和合作伙伴配合，增加了供应链攻击的风险，加上多国和地区已经落实了相关的法规，要求企业保护物联网数据的安全性和隐私性等，让企业管理资安觉得更加困难。

因此若能透过AI自动化管理资安，成为企业规划资安管理的一大利器。在经济部产业技术司的支持下，工研院研发「Janus自动化网路控管技术」，使用者仅需将搭载本技术之网通设备（可以是简易防火墙、路由器等），部署于微网段网路内欲受保护的设备前方，即会自动化收集相关的资讯，利用网路封包侧录及网路防火墙日志，来收集设备网路流量之输入及输出资讯，接着利用相关演算法分析，自动化针对个别主机设备之网路传输情况产生网路防火墙之白名单规则，达到完全无需人工值守的智能网路防护，并为管理者提供网路环境内设备活动的可视化管理服务。

■自动化网路控管技术 赋予网路防火墙新意义

零信任自动化网路控管技术特别适用于医疗、工业、关键基础设施等保护，主要是网路工作内容相对单纯或对于社会有重大影响。举例来说，一般常见的智慧医疗设备的网路架构，每一台医疗设备或IoT设备各自与上层的路由器或交换器连接，但过去Janus与医院合作的概念验证过程中，曾经成功在四小时识别出36万笔异常资讯传输，显示该医院设备之间有非预期内沟通，存在潜在资安风险。

总体来看，现今几乎所有国家、机构、企业和个人都依赖资讯系统进行日常活动和业务，例如储存敏感资料、进行金融交易、沟通、运输、能源供应等。资安技术变得愈来愈重要，不同于传统身分辨识的资安手法，例如防火墙、加密、存取控制、入侵侦测、虚拟私人网路、安全讯息和事件管理等防护机制，多了一个选择的防护方法，Janus资安改从行为控管，重新赋予网路防火墙新的意义。（本文摘改自电脑与通讯期刊193期自动化网路控管技术-Janus）