臺灣資安科技研究中心

本計畫預計提出一個跨雲安全原生之虛實情境感知零信任架構 (Cloud-Agnostic Security Native Cyber-Physical Context Awareness-Based Zero Trust Architecture，簡稱 CASN-ZTA)。跨雲應用除了不必受限單一雲服務供應商(Cloud Service Provider，CSP)，亦可結合多個CSP來進行儲存、運算及分析等不同優勢，挑選最合適的跨雲服務組合。然而跨雲服務面臨隱私法規與CSP間存在安全性差異而衍生的資安問題，導致跨雲資源的存取、傳輸與運算將會有所限制且存在洩露隱私之風險。此外，傳統 CSP 著重於部署抵禦外部攻擊之方案，然而卻無法有效防止內部攻擊者之威脅。因此，不給予萬物信任，並隨時執行身分認證、授權與最小化的存取控制之零信任架構已被認為是跨雲服務技術核心。本計畫所提出透過虛實情境感知策略，藉此定義欲保護資源之存取條件，其可針對欲存取對象之人、事、時、地與物進行情境感知驗證，透過結合多因子認證與基於環境變化感知之物理不可複製函數來設計身分認證機制，對該對象之人員與機器進行身分、時間、位置與存取目的等資訊辨識，並透過跨雲安全威脅評鑑進行評估與持續監控該對象之安全狀態，透過感知該對象之所屬實體、系統及網路環境等安全情境以決策是否進行授權，最後透過多機構屬性加密機制與多金鑰同態加密進行跨雲的資源存取控制與安全計算。此外，本計畫也將 CASN-ZTA 嵌入聯邦式學習架構中，提供下毒攻擊偵測與緩解機制，建立可信任隱私保護聯邦式學習之應用。最後，本計畫將從資源、用戶、設備、傳輸、計算與應用皆感知存取對象之虛實情境，並在確保存取某資源所需可信狀態閾值情況下，進行動態存取決策，提供一個可自行掌握資源控制權且同時擁有靈活跨雲之零信任架構。