零信任網絡的基本概念,就是沒有任何連上網絡的用戶、裝置或資產是天生安全的,每一個連線都不會被信任,直至確認可信為止。零信任網絡考慮了今天企業採取的自攜裝置、遙距工作、使用雲端及即服務方案等運作,利用網絡保安持續監察及授權每個存取嘗試。
傳統的網絡保安會在網絡周圍建立圍欄,防止歹徒存取業務資產或散播惡意程式及勒索程式,這方法一般稱為周邊防護。不過這方式也有一些缺陷,因為無論閘道有多安全,歹徒在進入後就可以存取所有在防火牆後面的東西。此外,網絡周邊的定義在近年來亦日趨模糊,因為傳統的企業周邊也需要包容遙距工作及軟件即服務等應用程式。
雖然多重認證等策略已加強了閘道凡安全,但此策略並未能解決分散網絡的風險。歹徒可能要花一番功夫才可侵入網絡,但一旦進入後即可在網絡內橫向移動,散播勒索程式或偷竊資料。
愛因斯坦說過:「我們不能用製造問題的方式解決問題。」 零信任是一個以不同的想法對應保安問題的方法。
周邊防護假定用戶或連線是可信任的,直至保安系統發現違規為止。零信任則假定攻擊者無處不在,無論是在企業周邊之內或是外面,因此在獲得認證前沒有任何連線嘗試是安全的。
零信任是一個網絡保安的方式,而不是一個事件或是產品與服務。遷移至零信任網絡保安是一個曠日持久的程序,在過程中您會繼續使用部份現有的產品及服務,但會以另一種方式使用。大部份網絡會在保安運作中心實施現代化項目時混合運作一段時間。唯一「純正」的零信任網絡會是最初根據零信任原則建立的網絡。
因此,計劃如何轉換至零信任是一個重要的起步點。這計劃始於識別所有資產、項目、商務程序、交通流量及企業基礎架構內的相依物件,然後加入更多項目以協助監察進度及追蹤成效。
計劃應包括企業所有資產:
應包含以下各項:
在遷移網絡至應用零信任方式時,有多個重點需要考慮,在將您的基礎架構轉移至更接近零信任框架時,以下為您可以採取的數個步驟。
實施微分段
零信任網絡的其中一個基本原則就是微分段,這是一個以分隔工作負載及限制存取來個別保護它們的方法。在周邊保安中,歹徒會透過入侵來進入整個網絡,微分段則減低攻擊面及限制單一入侵所造成的破壞。
隔離漏洞技術
一般而言,資訊及通訊科技裝置如手機、個人電腦、電郵或電視都會擁有不能進行補丁的固定作業系統,而 OT 運營技術裝置如工業用機械人或醫療設備亦面對同樣挑戰。但隨著它們逐步被整合至企業工作流程,這些裝置必須以嚴格的政策來隔離,以減低入侵的可能性。
保護子網絡
子網絡是一個大型網絡的重要部份,它能改善網絡保安、效能及復原力。它亦是阻截惡意程式及其他惡意工具的零信任策略的一部份。您需要確保子網絡的警示及目錄都回報至綜合主機,以協助調查及解決事件。
保護遙距登入
在零信任之前,遙距連線保安技術都假定連線是安全的,直至被警示為止。但在最常用技術陸續出現保安缺陷,而網絡亦進化成更軟件定義及加強流動性,特別是在冠狀病毒病期間,都導致更多未被管理的端點、未獲批准的軟件即服務,與及未被保護的軟件定義廣域網絡(SD-WAN)。
但隨著遙距連線技術持續演變,配合流動工作習慣及零信任方式的網絡保安方案亦已面世。