甚麼是零信任網絡?

零信任網絡的基本概念,就是沒有任何連上網絡的用戶、裝置或資產是天生安全的,每一個連線都不會被信任,直至確認可信為止。零信任網絡考慮了今天企業採取的自攜裝置、遙距工作、使用雲端及即服務方案等運作,利用網絡保安持續監察及授權每個存取嘗試。

周邊保安

傳統的網絡保安會在網絡周圍建立圍欄,防止歹徒存取業務資產或散播惡意程式及勒索程式,這方法一般稱為周邊防護。不過這方式也有一些缺陷,因為無論閘道有多安全,歹徒在進入後就可以存取所有在防火牆後面的東西。此外,網絡周邊的定義在近年來亦日趨模糊,因為傳統的企業周邊也需要包容遙距工作及軟件即服務等應用程式。

雖然多重認證等策略已加強了閘道凡安全,但此策略並未能解決分散網絡的風險。歹徒可能要花一番功夫才可侵入網絡,但一旦進入後即可在網絡內橫向移動,散播勒索程式或偷竊資料。

愛因斯坦說過:「我們不能用製造問題的方式解決問題。」 零信任是一個以不同的想法對應保安問題的方法。

周邊防護假定用戶或連線是可信任的,直至保安系統發現違規為止。零信任則假定攻擊者無處不在,無論是在企業周邊之內或是外面,因此在獲得認證前沒有任何連線嘗試是安全的。

遷移至零信任

零信任是一個網絡保安的方式,而不是一個事件或是產品與服務。遷移至零信任網絡保安是一個曠日持久的程序,在過程中您會繼續使用部份現有的產品及服務,但會以另一種方式使用。大部份網絡會在保安運作中心實施現代化項目時混合運作一段時間。唯一「純正」的零信任網絡會是最初根據零信任原則建立的網絡。

因此,計劃如何轉換至零信任是一個重要的起步點。這計劃始於識別所有資產、項目、商務程序、交通流量及企業基礎架構內的相依物件,然後加入更多項目以協助監察進度及追蹤成效。

計劃應包括企業所有資產:

  • 裝置
  • 基礎架構組成部份
  • 應用程式
  • 虛擬組成部份
  • 雲端組成部份

應包含以下各項:

  • 用戶端
  • 應用程式
  • 需要資訊的無人操作實體

零信任網絡組成部份

在遷移網絡至應用零信任方式時,有多個重點需要考慮,在將您的基礎架構轉移至更接近零信任框架時,以下為您可以採取的數個步驟。

實施微分段

零信任網絡的其中一個基本原則就是微分段,這是一個以分隔工作負載及限制存取來個別保護它們的方法。在周邊保安中,歹徒會透過入侵來進入整個網絡,微分段則減低攻擊面及限制單一入侵所造成的破壞。

隔離漏洞技術

一般而言,資訊及通訊科技裝置如手機、個人電腦、電郵或電視都會擁有不能進行補丁的固定作業系統,而 OT 運營技術裝置如工業用機械人或醫療設備亦面對同樣挑戰。但隨著它們逐步被整合至企業工作流程,這些裝置必須以嚴格的政策來隔離,以減低入侵的可能性。

保護子網絡

子網絡是一個大型網絡的重要部份,它能改善網絡保安、效能及復原力。它亦是阻截惡意程式及其他惡意工具的零信任策略的一部份。您需要確保子網絡的警示及目錄都回報至綜合主機,以協助調查及解決事件。

保護遙距登入

在零信任之前,遙距連線保安技術都假定連線是安全的,直至被警示為止。但在最常用技術陸續出現保安缺陷,而網絡亦進化成更軟件定義及加強流動性,特別是在冠狀病毒病期間,都導致更多未被管理的端點、未獲批准的軟件即服務,與及未被保護的軟件定義廣域網絡(SD-WAN)。

  • 虛擬私人網絡(VPN) - 虛擬私人網絡連線的防護即使在系統邊緣已經終止,但仍會授予用戶在整個網絡的存取權限,這建立了一個它們是可信的假象。虛擬私人網絡保安在軟件定義網絡的應用也有所不足。
  • 雲端存取資訊保安代理 - 雲端存取資訊保安代理的主要問題是其保安預防工作的固定本質,雖然軟件定義網絡的運作日漸暢順及員工增加流動性,但保安預防工作並未因應需要而變得更具彈性。
  • 安全網站閘道(SWG) - 安全網站閘道對在任何地點工作的員工都帶來問題,

 

但隨著遙距連線技術持續演變,配合流動工作習慣及零信任方式的網絡保安方案亦已面世。

  • 安全存取服務前端(SASEZ) - 安全存取服務前端歸類為零信任方式的一部份,並在企業某些特定部份應用零信任原則。分析機構 Gartner 亦採用此名稱。不同安全存取服務前端方案的組成部份可能各有不同,但通常都包括 CASB、SWG、ZTNA 及 SD-WAN 技術,以存取私有(在企業數據中心或基建即服務)或公有軟件即服務應用程式。
  • 零信任前端(ZTE) - 這是安全存取服務前端的另一個名稱,為分析機構 Forrester所採用。
  • 零信任網絡存取(ZTNA) - 包括在 SASE 或 ZTE 的定義之下,零信任網絡存取是一個雲端零信任保安方案,只會容許用戶存取特別獲得授權的應用程式。與零信任方法的原則一致,此行動可限制在被入侵時造成的破壞。像虛擬私人網絡一樣,零信任網絡存取在加密資料之餘也會更具靈活性,大大提昇用戶體驗。

相關研究

相關資料