【2021 INSIDE 未來日】VMware 陳學智:IoT 想採零信任架構,走雲端是最佳解!

自製專題

評論
Photo Credit:INSIDE
評論

「零信任」(Zero Trust)可說是現今資安界討論度最高的熱門 Buzzword!零信任不以傳統內網、外網劃分,而是依照組織成員職能為主、設備與所在地為輔的概念,重新改寫資安架構。

不過你可曾好奇,「萬物聯網」的 IoT 到底要怎麼採用零信任概念建立資安架構?雲端運算公司 VMware 台灣區總經理陳學智今天就在 INSIDE  未來日論壇上分享經驗。

陳學智首先強調,IoT 產業橫跨終端、網路與雲端。但資安是現在 IoT 產業發展的最大罩門,越來越多攻擊者專注在攻擊 IoT 裝置,每天世界各地都在不斷發生跟 IoT 相關的資安事件。

早年資安從主機防護、防火牆等技術發展而來,但彼此間都有些疊床架屋,而且方法、工具彼此散落;但近年隨著雲端、AI 發展,是可以透過雲端做到更統一式且更快速的反應。

陳學智解釋,零信任技術是由生物認證、邊緣認證等分散式技術所組織起來的,但可以集中在雲上做傳播,他解釋用疫苗想像就比較容易了,大家會認為,大國所開發的疫苗擁有大量的實驗數據,防護力較高;在資安界的概念也是類似,若要快速收集越來越複雜的病毒、木馬的攻擊特徵,透過雲端收集、用 AI 整理這些攻擊軟體的特徵會是最有效、最快速的解決手段之一。

如果要用一句話形容 VMware 的雲端資安架構,就是「微服務自帶安全性」,每個雲端虛擬容器都有自己獨立的防火牆、異常偵測,也可以隨時隔離。他們以 VMware 自己為例,像他們已經把所有主要系統都放在雲端上的虛擬機,而且 15 分鐘就會移動一次,未來可能還以秒計算,只要偵測到異常訊號,系統就能主動移動到其他虛擬機容器上。

例如車聯網,不管終端設備是什麼、透過什麼微型基地台,這些資料都可以透過公有雲運算;而公有雲環節就可以透過各種資安 API 與架構來提昇整體資安能力,不管是 X86、Arm 的設備,不需要每搬到每個終端就裝一個新的資安軟體,只要透過雲端就能更新資安防護。

陳學智最後表示,其實零信任最有感的應用場景就是企業遠端辦公!傳統要遠距辦公,最基本方法是 VPN,但 VPN 其實也是內網、外網架構,很多攻擊事件都是透過不當使用 VPN 被感染;但在零信任架構下,每當員工進入系統,應該是提供它一個虛擬跳板、應用專屬通道與專屬權限,這樣攻擊者一旦透過這名員工的電腦攻擊,就不是感染整個通道,而只限鎖在一個服務裡,不會演變成系統全體崩潰的事件。

核稿編輯:李柏鋒

延伸閱讀: