零信任是一個為網絡保安而設的建構方式及目標,它假定所有交易、實體及身份都是不可信任的,直至建立了信任及維持一段時間為止。零信任策略與舊日的觀念不同,在舊觀念中一個網絡在未被保安系統發現入侵行為之前都是被視作安全的。
超越邊界的保安
在過去多年來,企業正不斷加強數碼化,他們不單擁有雲架構,更加入了遙距工作及採用即服務方案等變革性改變。保安團隊亦根據變革調整了網絡保安,並通常將網絡劃分為細小的區隔以加強保安。
但不幸地,這策略亦增加了歹徒攻擊的機會。當歹徒取得一個用戶的登入資料,他就可以在網絡內橫向移動、散發勒索程式及加入權限。
多重認證雖然可以改善憑證的強度,但卻只能增加額外一層認證。當歹徒進入系統後,他們可以持續登入系統不同部份,直至他們登出或是被系統登出為止。
新的工作模式,包括自攜裝置、遙距工作及雲端運算更增加了新的漏洞,即使是最新及包含更大視野的強大網絡保安也只能涵蓋企業網絡本身,超出邊界的就會無能為力。
零信任保安模式
在網絡保安採取零信任模式已徹底扭轉舊有的概念。網絡保安已不再只定義為網絡區隔,或是只包含企業網絡邊界,而信任也不會因為企業或個人擁有的連繫或資產而授予,也不會因為實體或網絡位置,無論是互聯網或本域網絡,而授予信任。
零信任會專注於個別資源、用戶及資產,而不會理會其擁有者及所在位置。用戶須為企業資源進行個別認證,才可獲取存取權限。
其最終目的是為所有網絡元素取得零信任,直至得到確認為止。
零信任標準
零信任的困惑
在網絡保安世界,不少人仍然對零信任到底是甚麼感到困惑。有些廠商更利用這些困惑來銷售他們聲稱為零信任的產品。對不知情人士而言,更會被誤導以為零信任是一個產品。
事實上,雖然新舊產品都可以成為零信任架構的建構模塊,但零信任並不是一個產品。零信任是網絡保安的革命性方式。它切實代表了今時今日機構及員工如何互相連繫及共同運作的現實。
向零信任邁進
假如企業由零開始建構其基建,最可行及最簡單的方式是先識別必要的工作流程及組成部份,然後建構一個純粹的零信任架構。在業務及基建轉變的時候,成長的部份也可以長遠緊貼零信任的原則。
實質上,大部份零信任都是以程序的方式執行。機構通常都會讓零信任及周邊保安並行,並逐步實施現代化計劃。
全面建設零信任架構一般都需要多年時間,並會包括一系列需要慎重考慮的項目才可達致零信任的最終目標。不過,零信任是沒有終點的,企業需要持續實施及執行零信任策略,並要考慮未來業務及基建改變情況。
您可以預先制定計劃,將整個流程分拆為較小部份,並定時評估其成效。開始時可以先詳細列出不同項目、業務程序、交通流及從屬圖,讓您可以對應不同題目、資產及業務程序。
向零信任邁進
假如企業由零開始建構其基建,最可行及最簡單的方式是先識別必要的工作流程及組成部份,然後建構一個純粹的零信任架構。在業務及基建轉變的時候,成長的部份也可以長遠緊貼零信任的原則。
實質上,大部份零信任都是以程序的方式執行。機構通常都會讓零信任及周邊保安並行,並逐步實施現代化計劃。
全面建設零信任架構一般都需要多年時間,並會包括一系列需要慎重考慮的項目才可達致零信任的最終目標。不過,零信任是沒有終點的,企業需要持續實施及執行零信任策略,並要考慮未來業務及基建改變情況。
您可以預先制定計劃,將整個流程分拆為較小部份,並定時評估其成效。開始時可以先詳細列出不同項目、業務程序、交通流及從屬圖,讓您可以對應不同題目、資產及業務程序。
零信任架構是一個目標,也是一個需要時間及專注來執行的方法。這不是一個一次性部署後馬上可轉到另一階段的行動。它是一個由四大主要支柱組成的網絡保安哲學,一些原則可能依賴特別的保安技術,如身份多重認證,來進行,不過所使用的技術可能因應時間而改變。
零信任方式有三個基本功能。
零信任必須逐步實施及持續執行。它不會完全取代網絡,亦不是一個一次性安裝項目。它是一個需時多年、包含多個項目且不斷遞增的程序,涉及網絡的多個範疇,並需要在工作習慣、科技及威脅狀況改變的時候經常進行重新評估。
您的機構將如何實施零信任方法視乎業務運作而定,而最有價值的資產一般是一個很好的起點。
零信任包括四個組成部份: