按 Enter 到主內容區
:::

兩岸經貿網

:::

臺商導入零信任網路架構時應注意之法律議題

  • 資料發布日期:111-04-13
  • 最後更新日期:111-04-13
christopher-gower-m_HRfLhgABo-unsplash

文/王偉哲[1]

前言

在資安防護日益重要的時代,零信任網路架構(Zero Trust Network Architecture, ZTNA,下稱零信任)成為各國高度關注與投入的焦點。美國總統拜登於2021年發布之《促進國家網路安全行政命令》(Executive Order 14028, Improving the Nation’s Cybersecurity)[2]中,即明確要求各聯邦政府機關全面導入零信任。中國大陸對於零信任議題也頗為重視,除其官方研究機構為零信任出版專題報告外,中國大陸之產、官、學界亦組成聯盟[3]以發展零信任相關產品與服務,並積極參與相關的國際標準制定[4]

Gartner《2021年網路安全技術成熟度週期》(Hype Cycle for Network Security, 2021)分析報告指出,零信任打破了主要以內、外部區隔來進行資安防禦的思考模式,將使用者依照其所需之應用進行分隔(user-to-application segmentation)[5],這使得組織能夠更有效的防止遭到入侵,或是在被入侵後使駭客難以進一步橫向擴散或進行提升權限等行為,因而得以有效阻止損害擴大。

與慣用的虛擬私人網路(Virtual Private Network,下稱VPN)相較,VPN主要提供外部、內部網路之間的安全連線通道,至於進入組織內部網路後,個別系統或資源的權限控管,需要其他的機制搭配處理,若組織未再針對自身內部的服務或資源有額外、完整的權限管理,使用者利用VPN連入後就可能逕予存取;而在零信任下,來自內部或外部的連線請求,均係依照組織預先設定的權限政策進行判定,包含如何參考相關的連線登入資訊,例如使用者身分驗證、設備驗證、登入IP位址或過往日誌紀錄等,來決定是否允許特定連線請求以及授權之範圍(例如可否讀取特定資訊、可否下載資料等)。

換言之,在採行零信任的情形,於事前規劃、設定政策時,可區別連線請求所處的不同情境,例如來源IP是否與過往一致、連線請求的時間是否為上班時間、設備是否為已登錄設備等,設計不同的政策,以准駁不同情境下的連線請求,並限定、差異化得授予之權限範圍,也就是說零信任在連線、驗證與授權上的設定均具有更高精細度,在部署上更有彈性(flexibility)。此外,這樣的特性也使零信任即使在組織由多個不同的雲端或本地端提供服務的複雜情形,也能夠給予個別的調整設定,具有更佳的適應性(adaptability)[6]

在組織採行零信任資安防護已成趨勢之際,臺商如欲導入零信任,除應了解自身系統、資源、資源請求流程及組織營運與資安防護程度等需求,以利決定所欲採行之零信任部署模式、權限政策外,亦宜留意中國大陸數據安全法等相關法規之影響,以利判斷、採行對組織最佳之導入決策。

中國大陸的零信任近況

中國大陸工業和信息化部(下稱工信部)於2019年發布《關於促進網路安全產業發展的指導意見》[7],將零信任列為「需要著力突破的網路安全關鍵技術」。2020年,工信部發布《關於開展2020年網路安全技術應用試點示範工作的通知》[8],指零信任是具有「前沿性」、「創新性」與「先導性」的重大網路安全技術理念[9],顯示官方已注意到零信任對網路安全的重要性,並有意將之納為政策重點。

對此,中國信息通信研究院亦發布《數字化時代零信任安全藍皮報告》[10],除說明零信任資通安全技術,並針對企業可能面臨的應用情景(例如雲端服務)進行分析。

由前述藍皮報告中可看出,中國大陸鼓勵資安廠商針對不同面向的零信任應用需求(如身分控管、終端安全等),發展相應之零信任產品或服務,並依產品與服務的分類,提供相應的廠商清單,以利各機關、企業可以更容易、方便地依據自身之現況與需求,選擇對應的零信任方案。此外,若進一步觀察藍皮報告所列之個別零信任產品或服務,可以發現許多資安公司針對同類產品或服務,均同時提供「雲服務」與「本地部署」模式,以供組織進行選擇。

以雲服務的情況而言,組織可利用資安公司已設置好的基礎架構來導入零信任,在此架構上自訂相關的政策與授權原則;而若採本地部署,則組織將會需要自行處理零信任的部署、管理及維運等作業,在導入時可以依照自身的狀況選擇適合的模式。

選擇不同的產品或部署模式,即代表組織為了導入並實際部署零信任,所蒐集、儲存或應用資訊的範圍會有差異,且可能有不同的關係人(例如提供雲服務之資安廠商)介入資訊蒐集、儲存與應用的過程;而這些差異及其影響(包括法規適用的範圍等),也是組織在決策前須事先設想並評估過的。

企業面對更多的資訊法規監管,應審慎以對

中國大陸政府近年來不斷加強對於資訊的監管力道,包括《網絡安全法》、數據安全法》及《網絡安全審查法》等法律立法,上述法律均直接或間接著眼於對資訊之強化控管[11]。組織使用零信任雖有助自身對於資安的掌控,但由於零信任可能需要蒐集更多資訊以供判斷、驗證之用,在面對上述法規時,組織即須面臨兩大重要的風險,一是針對組織本身的數據所受到主管機關的監督;二是組織所選擇零信任產品之供應商亦須配合相關法規,因此組織為導入零信任所蒐集、存儲與應用之資訊,亦有經由供應商所提供相關機關的技術支援而被取得之可能。

在《數據安全法》[12]中,針對數據安全的保護設有許多義務規定,違反時多有罰則,臺商在中國大陸境內投資或營運範圍內有涉及與中國大陸有關數據時,均需注意此部分。在前述第一種情形,基於《數據安全法》之規定,若企業的相關資訊一旦被認定為「重要數據」(數據的重要性依次可分為核心數據、重要數據及一般數據等類),即必須向主管機關提出該數據的種類、數量、處理情形(包含蒐集、儲存、加工、傳輸…等)及數據風險評估與應對措施[13],其他相關的規定,包含要求組織或個人在數據處理上,必須符合中國大陸的網路安全等級保護制度(第27條)[14]、加強風險監測(第29條)[15]、對屬於重要數據之資訊依規定進行風險評估(第30條)[16]等。此外,依據中國大陸於2021年11月公布草案性質的《網路資料安全管理條例(徵求意見稿》(下稱管理條例)[17],規定主管機關所要求提交的內容需包括處理數據之目的、範圍、類型、儲存地點等資訊,雖明文提交資訊不包括數據本身[18],此或某程度可緩和各界此前的疑慮[19],惟依照所提交項目進行組合參照,究竟會剖繪出組織資訊的何等樣貌,有無其他影響,仍應是組織在導入零信任時的考量事項。

組織除了提交監管要求所需資訊外,對於國家安全、犯罪偵查亦負有協力的義務。中國大陸的公安機關或國安機關可以為維護國家安全或偵查犯罪的需要調取數據(第35條)[20],企業在運用零信任時所蒐集的使用者資訊、設備資訊等,自亦在可能被要求提交的範圍;許多臺商企業均有跨國營運需求,而須符合不同區域之法規,務必注意中國大陸此類監管與執法規定,適度規劃所擬在當地蒐集、存儲或為其他處理的資料範圍,設計最適當的零信任方案。

在第二種情形,例如依《網絡安全法》[21]的規定,網絡運營者應當為中國大陸公安機關、國家安全機關維護國家安全和偵查犯罪的活動,提供技術支持和協助(第28條)[22];而該法所謂網絡運營者,除網絡的所有者、管理者外,亦包括網絡服務提供者[23]。由前述介紹可知,許多廠商的零信任解決方案包括雲端模式,因而這些廠商即屬利用電腦或其他對資訊進行儲存、傳輸等處理的系統(即該法所稱網絡;類似我《資通安全管理法》所稱之資通系統)提供服務之網絡運營者,負有上述技術支持與協助之義務,這當然也包括協助取得組織資訊之技術支援。

臺商在導入零信任時,除應充分了解使用特定零信任產品時會有哪些資訊被蒐集,而須依監管法規提交外,亦須注意到零信任產品或服務之供應商亦屬於被法規所規範的對象,而有配合調查之義務;預先了解中國大陸《數據安全法》、《網絡安全法》等對權責機關賦予的相關權力,一併於選擇零信任產品與服務時加以評估。

臺商的應對之道

中國大陸對於零信任之重視與積極發展,雖促使其市面上已有許多相關產品與解決方案可供選擇,降低了組織在導入零信任時所需克服的門檻及障礙,但中國大陸在網路、資訊相關法規上亦屬政府管制較多、介入較深之規範,除針對企業本身的數據外,資訊產品或服務的提供者亦在受規範之列,而負有提供技術支援等配合調查的義務,因此建議企業在導入零信任時,可把握以下兩個重點:

一、確認、釐清所使用之零信任產品所蒐集之資訊:例如對使用者資訊、設備資訊而言,宜僅以能使企業在中國大陸地區能有效運用零信任所需之必要資訊為主,降低受官方要求配合調查資料時之影響範圍,也降低跨國營運時難以兼顧各地法規之困擾。

二、選擇合適的供應商與產品:針對零信任的相關產品及服務提供者,組織於選擇合適的解決方案時,除應選擇較值信賴的服務提供者外,亦須留意產品部署模式所可能對應受到的監管。例如使用供應商的雲服務時,該供應商作為《網絡安全法》所定義之網路服務提供者,負有配合相關調查的義務;而由於供應商並非組織所能控制的主體,因此組織亦需留意供應商透過其技術支援等方式所可能接觸或取得的資訊內容與品質,預先評估相關風險。

零信任被視為下一個世代的重要資安架構,廣受各界重視,企業在導入時,一般多著眼於如何在組織既有的網路架構內做最有效率的變動。相對而言,較完整的安全性、更正確的判斷結果,係奠基對於組織系統與資源之使用者、登入設備等進行更完整的資訊蒐集與分析,因此在政府管制、介入較多的地區,企業於精進資安防護的同時,亦需注意相關的法律監管議題,俾完備因應與決策。

 

-----------------------------------------------------------------

[1] 作者服務於行政院國家資通安全會報技術服務中心;本文為技服中心法制政策工作成果。
[2] The White House, Executive Order on Improving the Nation’s Cybersecurity, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/ (last visited: 2022/03/21)
[3] 奇安信,《由中國信安和奇安信等單位聯合發起的「零信任」聯盟正式成立》,https://www.qianxin.com/digital/news/detail?id=19 (最後瀏覽日:2022/03/21)
[4] 中國日報,《從持續驗證到持續保護 騰訊牽頭全球首個零信任國際標準發佈》,https://caijing.chinadaily.com.cn/a/202112/03/WS61a985b5a3107be4979fb32e.html (最後瀏覽日:2022/03/21)
[5] Gartner, Hype Cycle for Network Security, 2021, pp. 38-40.
[6] 同前註5。
[7] 工業和信息化部(2019),《工業和資訊化部公開徵求對《關於促進網路安全產業發展的指導意見(徵求意見稿)》的意見》,http://www.cac.gov.cn/2019-09/27/c_1571114011459248.htm (最後瀏覽日:2022/03/30)
[8] 工業和信息化部(2020),《工業和資訊化部辦公廳關於開展2020年網路安全技術應用試點示範工作的通知》,http://www.gov.cn/zhengce/zhengceku/2020-08/04/content_5532287.htm (最後瀏覽日:2022/03/30)
[9] 其他一併提及的技術包括擬態防禦、可信計算、安全智能編排等。
[10] 中國信通院,《數位化時代零信任安全藍皮報告(2021年)》,http://www.caict.ac.cn/kxyj/qwfb/ztbg/202105/t20210521_377790.htm (最後瀏覽日:2022/03/21)
[11] 李婉萍、陳宏志,《2021年中國大陸數據安全法新制及其對臺商的影響》,兩岸經貿,第357期,2021年9月,https://www.sef.org.tw/eBook/ECO/357/10/index.html#zoom=z (最後瀏覽日:2022/03/21)
[12]《中華人民共和國數據安全法》,http://politics.people.com.cn/BIG5/n1/2021/0611/c1001-32128067.html (最後瀏覽日:2022/03/21)
[13] 《數據安全法》第30條:「重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。」
[14] 《數據安全法》第27條:「開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網路開展數據處理活動,應當在網路安全等級保護制度的基礎上,履行上述數據安全保護義務。」
[15] 《數據安全法》第29條:「開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。」
[16] 同前註13。
[17] 《中國網信網國家互聯網資訊辦公室關於《網路資料安全管理條例(徵求意見稿)》公開徵求意見的通知》,http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm (最後瀏覽日:2022/03/31)
[18] 《網路資料安全管理條例(徵求意見稿)》第29條:「重要資料的處理者,應當在識別其重要資料後的十五個工作日內向設區的市級網信部門備案,備案內容包括:(一)資料處理者基本資訊,資料安全管理機構資訊、資料安全負責人姓名和聯繫方式等;(二)處理資料的目的、規模、方式、範圍、類型、存儲期限、存儲地點等,不包括資料內容本身;(三)國家網信部門和主管、監管部門規定的其他備案內容。處理資料的目的、範圍、類型及資料安全防護措施等有重大變化的,應當重新備案。依據部門職責分工,網信部門與有關部門共用備案資訊。」
[19] 同前註11。
[20] 《中華人民共和國數據安全法》第35條:「公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當予以配合。」
[21] 《中華人民共和國網絡安全法》,http://www.cac.gov.cn/2016-11/07/c_1119867116.htm (最後瀏覽日:2022/03/21)
[22] 《中華人民共和國網絡安全法》第28條:「網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。」
[23] 《中華人民共和國網絡安全法》第76條:「本法下列用語的含義:(一)網絡,是指由電腦或者其他資訊終端及相關設備組成的按照一定的規則和程式對資訊進行收集、存儲、傳輸、交換、處理的系統。(二)……(三)網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。」
 

回頁首