在傳統的企業網路安全架構中,防火牆保護內部網路,防毒軟體則負責保護使用者端點裝置。系統和設備之間的運作依賴於「內部信任」的假設,即只要位於防火牆內或已經登入系統的使用者,便被視為可信。然而,隨著雲端服務、自攜裝置、遠距辦公行動辦公、共享辦公室、數位轉型、營運上雲等新興辦公需求的出現,這種依賴內部信任的模式變得越來越脆弱,難以有效抵禦現代駭客的攻擊。
為了應對這些安全挑戰,零信任架構(Zero Trust Architecture, ZTA)於 2010 年提出,旨在重新定義企業的安全防護策略。本篇文章將介紹零信任架構的背景與核心概念,並探討人臉辨識技術在此架構中的關鍵作用。
在傳統的企業網路架構中,重點在於通過建構私有網路來保護存取權限。這種傳統的架構假設內部的一切都是可信的,因此,一旦裝置進入內網並完成身分驗證,攻擊者便能毫無阻礙地橫向移動,從一個系統或資源跳轉到另一個系統,進一步入侵高價值的資料和資產。
然而,零信任架構打破了這一假設,不再將防火牆內的使用者、裝置或請求視為安全,而是將所有請求視作來自開放網路。秉持「永不信任,始終驗證」的原則,零信任要求每個存取請求都必須經過完整的身分驗證、裝置驗證及加密處理,並進行即時授權檢查。此外,零信任架構還採用微分段與最小授權原則,只賦予使用者存取特定系統所需的最低權限。透過持續監控和動態調整存取政策,企業能有效阻止攻擊者在初步入侵後進行橫向移動,進而擴大攻擊範圍。
傳統網路架構預設信任來自內網的裝置、連線或使用者,並且驗證的頻率過低,通常只在初次登入時進行一次鑑別,之後便可在內網中自由活動。
零信任的第一原則是,認為所有流量都有潛在的攻擊風險。因此,針對所有系統存取請求,都必須進行身分和設備的嚴格驗證。為了更精細地控管內網,零信任架構將網路根據系統特性、資料類型、風險等,劃分成多個微分段(micro-segment),每個微分段內的存取請求都需重新驗證,確保其安全性。
在每個微分段中,企業必須對重要的資源(資料、資產、應用、服務,即 DAAS)採取最小權限授權原則。這意味著,使用者或設備只能獲得其履行工作職責所需的最低存取權限,並且這些權限需要定期審視,動態調整,以避免過度授權的情況。
結合微分段與最小權限存取的原則,企業能有效防止帳戶或設備遭入侵後,攻擊者橫向移動並進一步入侵更高價值的資源。
駭客的攻擊方式不斷演變,因此企業的防護機制也必須隨之更新。傳統網路僅針對已知威脅設計,而零信任架構強調對網路活動的持續監控。透過監控使用者行為、網路流量和系統活動,企業能更快辨識異常行為並應對潛在的安全事件,進而提升整體防禦能力。
身分與裝置的驗證是零信任架構中最重要的核心原則。針對設備,驗證包括使用裝置憑證、裝置特徵(如 MAC 位址、硬碟序列號)、健康檢查(例如是否安裝最新安全軟體)和合規驗證(如關閉高風險服務)。這些措施確保裝置與設備符合存取系統的安全標準。
針對使用者,驗證則更為嚴格,通常要求雙因子驗證(Two-factor authentication,縮寫為 2FA)、多因子驗證(Multi-factor authentication,縮寫為 MFA),包括使用生物辨識技術、USB 金鑰、Authenticator、一次性驗證碼(One Time Password,縮寫為 OTP)來確保使用者身分的真實性。
下圖為我國政府機關推動零信任的架構,利用公開金鑰基礎架構(Public Key Infrastructure, PKI)、FIDO 技術、TPM 代理程式來鑑別(Authenticate)使用者及其裝置。最後由決策引擎根據使用者的身分及設備、來源 IP、登入時間、設備健康(如安裝更新檔、導入安全性設定)等資料,決定是否允許存取。
圖片來源:數位發展部
在多因子驗證中,OTP(一次性密碼)和 Authenticator 等工具通常涵蓋「擁有因素」(Something you have),例如使用者的手機。然而,這些方法缺少「生物因素」(Something you are),無法直接驗證使用者本身的身分。生物辨識技術可以提供更高安全性的身分驗證,因為它基於每個人獨特且無法仿冒的生理特徵。這些技術包括指紋、虹膜、掌紋及人臉辨識等技術,其中人臉辨識因其高安全性、便利性、成本效益、易於導入且能結合數位與實體的特點,已成為目前最成熟的技術之一。
高安全性:
人臉辨識技術基於每個人獨特的面部特徵,這些特徵難以偽造或複製,因此具有極高的安全性。相比於 OTP、USB 金鑰或卡片,人臉辨識無需擔心卡片遺失或密碼遭竊,從根本上減少了偽造和盜用的風險。
便利性:
人臉辨識只需人員在鏡頭前停留不到一秒即可完成身分驗證,不需要額外操作手機或攜帶 USB 金鑰。相比指紋辨識,人臉辨識具備無接觸的優勢。
成本效益與易於導入:
人臉辨識只需要標準的攝影機設備即可運行,無需購置如指紋感測器或虹膜辨識專用攝影機等昂貴的硬體設備。此外,人臉辨識技術如今可以在個人電腦、手機甚至輕量級的 AIoT 裝置上快速且精確地運行,這使得導入成本更低,且適應性更高。
數位結合實體:
除了用於保護線上系統、設備及電腦的登入,人臉辨識還可以與企業的門禁系統、安控系統及差勤打卡系統結合。使用同一套技術,企業可以同時強化數位資產和實體設施的安全性,實現全方位的保護。
韓國某大型金融機構成功導入人臉辨識解決方案,實現雙因子身分驗證,並部署符合韓國零信任架構的資安環境。該解決方案結合訊連科技高度精準的 FaceMe 人臉辨識技術與防偽驗證機制,不僅有效降低潛在駭客攻擊風險,也提升了用戶體驗與企業信任度。此應用實例展示了人臉辨識技術如何成為現代資安佈局中的核心助力,適用於金融業及其他資安敏感企業及政府單位。
在當前網路環境日益複雜、邊界愈加模糊的背景下,零信任資安架構的推動已成為全球趨勢,無論是企業還是政府機構,導入零信任已成為未來網路安全發展的必然選擇。美國總統拜登於 2021 年 5 月發布行政命令,要求推動美國聯邦政府的網路安全現代化,並強調採用零信任架構以應對新興威脅。
在台灣零信任架構的推廣也獲得了廣泛關注。為了加快零信任的實施,數位發展部自 2023 年起針對資安責任等級 A 級機關逐步導入零信任,並將身分驗證作為首要推動項目,全面提升我國的資安防禦能力。同時台灣金管會於 2022 年底推出金融資安行動方案 2.0,要求銀行逐步落實零信任策略,以加強金融機構的資安保護。
隨著零信任架構、雙因子驗證(2FA)和生物辨識技術在網路安全中的重要性不斷提高,人臉辨識技術憑藉其高度潛力,將在未來的網路安全體系中發揮重要作用。訊連科技的 FaceMe 人臉辨識引擎,不僅廣泛支援雲端、地端及邊緣運算環境,還能與各種作業系統及運算晶片無縫整合,具備高效能和高準確度,並已經過多個國際知名機構的測試與驗證,是企業導入零信任架構的最佳選擇之一。
與業務團隊
