資安新知-「零信任」助您從內到外的全面企業保護

果你不信任網路內部或外部的任何人該怎麼辦? 還能確保資訊安全嗎?

透過零信任 (Zero Trust) 模型,你可以做到這點。

零信任甚至正在成為美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)的標準。而且,隨著新冠病毒大流行將員工從辦公室移轉到他們的家中作業,使得「零信任」機制蔚為時代新主流。

說明: “零信任” 重新定義資訊安全模式,幫助企業全面性的資安保護。 用戶日常使用的裝置、應用、網路流量與數據都含括在其範圍。 (資料提供: 聚誠國際)

十年前,Forrester Research 前首席分析師,現為 Palo Alto Networks 現場技術長 (Field CTO)的 John Kindervag 看到了一種新安全模型的需求:零信任。他指出,在當今的IT世界裡,真的早已沒有防火牆內部或外部的區別了。事實上,信任和可信任系統的概念本身就有缺陷。或者,正如Kindervag所說的:「信任是一個弱點。它對組織沒有任何價值,因此我們需要減少信任,就像其他任何漏洞一樣,並在需要了解的基礎上控制存取。」

雲端資產管理公司Axonius資訊安全長 Lenny Zeltser 所說:「COVID-19迫使企業幾乎在一夜之間過渡到分散式遠距勞動力型態。當急於支持這類勞動力型態時,安全領導者必須當下做出與許多風險相關的決策,這些風險即使不需數年但通常也要數月之才能解決,其涉及的相關領域包括網路信任、網路邊界、外部應用程式和基礎架構,乃至IT營運主要方面的可視性等。」

Zeltser進一步表示,公司應考慮「對於危機所觸發之網路安全計畫的當前狀況,可以透過零信任原則作為評估該計畫狀況的施行準則。它將信任範圍從受邊界保護的大型網路縮小到諸如端點和使用者等元件」。

什麼是零信任?

零信任的基本宗旨:不要信任任何人。

在你的網路內部或外部都有攻擊者。不應該自動信任何使用者或系統。這樣一來,你就消除了惡意攻擊者每日用來擷取密碼、竊取數據及安裝勒索軟體的許多攻擊向量,以及所有那些讓IT生活變得痛苦的其他攻擊手法。

那麼,如果你不能信任任何人或任何事物,你會使用什麼來代替呢?

在零信任模型中,你絕不信任,但總是會進行驗證。

你要驗證的是,任何使用者、程式或系統都有權存取「保護面」(Protect Surface)。這是你網路中最關鍵和最有價值的資料、資產、應用程式和服務(Data, Assets, Applications and Services, DAAS),每間公司的DAAS狀況都不盡相同,但是都可以加以識別。如果你無法辦到,那麼你確實需要坐下來認真研究一下你IT系統中哪些是真正重要的,哪些又是不重要的。

以下幾種技術是常用的方法:

  • 微邊界 (Micro perimeter):每個保護面,例如資料庫,都有自己的小安全邊界。每個資料庫或檔案系統都有自己的小邊界。這些是由隔離閘道器(Segmentation Gateway, SG),亦即次世代防火牆 (Next-Generation Firewall, NGFW) 創建和維護的。只有合法應用程式的已知允許流量才可以進入保護面。這是在網路第7層的應用層上完成的。這些微型防火牆規則是由「Kipling方法」決定的。也就是說,零信任政策基於每個網路互動的對象、內容、時間、地點、原因和方式。因此,Joe可能透過某特定應用程式有權存取某一特定資料庫,但卻被同一伺服器上的另一個資料庫封鎖,即使他使用同一個程式也是一樣。簡而言之,零信任包含了針對使用者、應用程式和資源之每個獨特組合的超精細規則。
  • 最小存取權限:零信任依賴於一個必知的最小存取權限模型就不足為奇了。其會為每個使用者和應用程式提供完成工作所需的最小存取量。既不會少,也絕不會多。
  • 多因素身分認證 (Multi-factor authentication, MFA): MFA對零信任安全性也至關重要。這與你在臉書(Facebook)上使用的MFA不同,臉書MFA需要輸入你的密碼和個人身分識別碼(PIN)才能查看Tootsie姨媽在做什麼,至於在零信任中,每個使用者和裝置都必須經由MFA的授權才能存取資源的保護面。想將這些技術放在一起並不容易。 Stern指出:「零信任是一種心態與思維模式,而不是核取方塊中的選項或產品。它是一種持續不斷的方法論,用於從內部稽核到技術選擇的任意數量IT決策與情境,日復一日直到永遠。它是總體安全模型中不可分割的要素,因此它與流程的關係要比與產品的關係大得多。」

黑莓(BlackBerry)技術長 Charles Eagan 持同意的態度表示:「零信任不是一個單一的產品,而是一個動態的解決方案,會隨著它從使用者行為中所學之物,並隨著新使用者、新裝置、新應用程式和新技術所促成之環境變化而持續進化。」黑莓在其安全通訊平台 BlackBerry Spark 中使用零信任模型。

實戰中的零信任

許多公司正在成功地部署零信任。Lexmark資訊安全長 Bryan Willett 表示:「Lexmark於2016年開始在自家基礎架構中整合零信任架構,現在已在我們從本地端到雲端、從開發到製造,從居家辦公到現場作業的整個環境中全面實施。」

「如今,每一台裝置在登入Lexmark網路之前都必須註冊並遵從安全政策要求;所有檔案請求、資料庫查詢和列印指令都將被徹底檢查,以確保請求者擁有適當的權限;我們並且會透過多因素認證機制來為所有使用者進行身分驗證。我們的安全底線:對於這些零信任規則,我們不做任何假設或例外。」

結果,「如同許多企業一樣,我們的員工在COVID-19期間一直在家工作,我們並且觀察到網路釣魚攻擊狀況的增加。當我們員工淪為受害者時,在我們的VPN、雲端應用程式和商務應用程式上,我們從零信任原則中獲得像是使用者與工作站多因素身分認證等保護機制,已在挫敗駭客的努力中發揮了不可估量的作用。」

「我們與客戶的經驗表明,完整的零信任架構可以潛在地減少94%當前普遍使用的攻擊向量,進而最大程度地降低遭到入侵劫持的可能性,」

遷移到零信任很容易嗎?

不,不盡然。雖然如今有很多公司準備好助你一臂之力,但這是你如何實現安全性上的根本轉變。它不會輕易實現,而需要一定的時間才行。

真正的問題是:值得這麼做嗎?答案絕對是肯定的。面對來自網路內外的各種安全威脅,您需要一個全新、更強大的安全模型,那就是零信任。

#資料來源: 摘要CIO Taiwan (感謝CIO Taiwan同意轉載)

#更多產品資訊:(02) 8797 2898 李s;or Marketing@G-Trend.com.tw

 

台北PMO

台北市
中山北路3段22號14樓

龍潭辦公室

桃園市
龍潭區東龍路349號

台中辦公室

台中市
北區華信街8號

高雄辦公室

高雄市
大寮區興業路9號

花蓮辦公室

花蓮市
華西路123號208室

© 2020 G-Trend Integration 聚誠國際股份有限公司