何謂零信任架構?
零信任架構的假設前提是:在確認可信之前,沒有任何連線、使用者或資產可以信任。反觀傳統以邊界為基礎的資安架構則認為,一旦連線通過了認證就值得信任,因此可存取整個網路,這使得企業資產經常成為網路犯罪集團的目標。能改造企業但卻耗時的零信任專案,通常建立在現有的架構之上,然後加以改造。
零信任架構
零信任架構是一種持續演進的概念,目前尚無任何認證或實際的標準可供遵循。許多企業都仰賴一些產業認證,如 International Organization for Standardization (ISO) 認證來讓他們有所遵循,而零信任目前並無明確的定義,因此也造成了一些觀念上的混淆。
在這樣的混淆下,有些廠商會宣稱某項產品或服務是一套完整的零信任解決方案,但這完全忽略了零信任只是一套方法,它可以使用現有或新開發的產品或服務,但並不等於某種產品或服務。更糟的是,許多人甚至會將「零信任」的標籤套用在一些老舊的產品上,儘管這些產品跟它的核心意義完全沾不上邊。
零信任框架
目前市面上有各種零信任框架和方法。雖然零信任是一種概念,但美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 和 Forrester、IDC、ESG 等研究機構,都對零信任框架的基本元素提出了他們的定義。
- NIST 在其發布的「零信任架構」(Zero Trust Architecture) 特刊 (Special Publication,簡稱 SP) 當中,說明了美國政府機關如何運用零信任策略。這份長達 50 頁的文件定義了理想的零信任實作該有的基本元素,並提供了聯邦政府機構的部署情境和應用案例。儘管 Gartner、Forrester、IDC、ESG 以及其他分析師機構都認同 NIST 所用的「零信任」一詞以及一些定義、方法和框架,但這些機構對於同樣的概念所用的詞彙卻不盡相同。
- 例如,Gartner 使用「安全存取服務邊際」(Secure Access Service Edge,簡稱 SASE) 一詞來統稱「雲端存取安全代理」(Cloud Access Security Broker,簡稱 CASB)、安全網站閘道 (SWG) 及進階虛擬私人網路 (VPN) 的組合,至於 Forrester 則稱之為「零信任邊緣」(Zero Trust Edge,簡稱 ZTE)。
分析師機構除了提供寶貴的指引之外,也提供了一些規劃藍圖,企業可從這些來源找到一些很棒的資訊來協助他們開始踏上零信任之路。
零信任基本原則
踏上零信任之路,企業首先應根據自己的業務和資安需求建立一些基本原則。
- 將所有資料和服務都視為資源 – 今日的網路是由許許多多不同類型的裝置和服務所構成。軟體服務 (SaaS)、雲端服務等各類服務,以及存取企業資源的個人裝置,都可納入零信任的範疇之下。
- 絕不信任網路位置或身分 – 傳統的邊界防護僅靠一道門來把關想要存取企業資源的使用者。使用者只要通過認證,就能存取各式各樣的企業資產。但這樣的作法也為駭客開了一道方便之門。一旦駭客進入了企業,他們就能在內部網路四處遊走,順便安裝各種惡意程式和勒索病毒。
- 授予的資源存取權限只限用於當下的連線階段 – 先建立信任,然後再授予存取權限,並且只提供執行工作所需的最低必要權限。
- 根據動態的政策來決定存取權限 – 所謂的政策是指套用到某個對象、資產或應用程式的一套存取規則。根據您的業務需求以及您可接受的風險來建立政策。所謂動態的政策,可包含持續監控的使用者、裝置和行為 (例如觀察到的使用模式) 等條件的風險等級。也可包含環境周邊條件,例如:網路位置、時間、進行中的攻擊。
- 沒有任何資產天生值得信任 – 藉由一套持續監控系統在某項資源請求期間評估資產的資安情況。將個人裝置也納入考量,選擇這些裝置該有的存取等級。這樣的做法並不像表面上看起來那樣極端,原因在於,原本已經通過安全檢驗的伺服器,很可能因為某個漏洞的揭露或因為某個小元件 (例如某個開放原始碼函式庫) 稍有變動而瞬間陷入漏洞攻擊的危險。
- 不斷重複驗證是否繼續信任 – 信任並非永久。一旦使用者或裝置的風險升高,就必須斷然採取行動,立即將連線終止,或者將帳號重設。
- 嚴格執行認證與授權 – 使用動態原則在通訊過程當中持續掃描、評估威脅、做出調整,然後再重新評估是否繼續信任。建置一套身分、登入憑證與存取管理系統 (ICAM),包括對適用的資源套用多重認證 (MFA)。根據時間、非預期活動或新的資源請求等等來重新評估政策。
- 盡可能蒐集越多資訊 – 有關資產安全狀況、網路流量,以及存取請求等等的資訊非常重要。好好利用這些資料來了解該如何改善資安政策以及政策的落實。
零信任模型的元素
零信任架構的部署包含了各種不同的元素。有些或許是位於企業內部的服務,有些則可能是雲端上的服務。您必須認知到,您所建置的任何一套零信任架構都需要時間來部署。在這段期間,很重要的就是要教育所有相關人員,讓他們了解各個環節,並且傳達零信任是一項持續的工作,沒有明確的開始和結束。請謹記一點,當您 IT 與業務需求發生變化而影響到您的進展時,您可以再次重新評估您的架構來讓零信任方法發揮最大效益。
專家強調,沒有一種零信任基礎架構對所有企業都通用。因為每家企業都不同,所以適合的零信任架構也不同。除此之外,零信任基礎架構通常是一系列較小的基礎架構現代化專案慢慢累積而成,很少有所謂最理想的零信任模型存在。
零信任模型的特性之一就是經常變動,所以今日最理想的零信任模型,未必適用於明日。
NIST 文件提供的架構範例圖 (第 18 頁)。零信任模型的元素。
- 政策引擎 (PE) – PE 負責根據政策和 CDM 系統與威脅情報服務的輸入來判斷是否該授予存取權限。
- 政策管理員 (PA) – PA 負責根據 PE 的決策來建立或關閉通訊。
- 政策落實點 (PEP) – PEP 負責准許、監控和終止連線。
有多個資料來源可提供輸入來協助政策引擎做判斷。
- 持續診斷與防範 (CDM) 系統 – CDM 系統要通知政策引擎某項要求存取權限的企業或非企業資產是否擁有適當的作業系統 (OS) 版本、軟體元件一致性,或者任何已知漏洞。
- 產業法規遵循系統 (ICM) – 絕大多數的企業都有一些必須遵循的法規,例如醫療法規。ICM 包含這類政策規則,並負責監控法規遵循狀態。
- 威脅情報來源 – 這些是內部或外部的來源,提供有關最新漏洞、軟體瑕疵、惡意程式等等的資訊給 PE,讓 PE 決定是否該拒絕存取。
- 網路與系統活動記錄檔 – 這些記錄檔提供有關資產、流量、存取動作以及其他事件的即時回饋。讓您評估最新的活動並做出政策相關的決定。
- 資料存取政策 – 資料存取政策負責定義存取權限授予的規則。這些規則須根據企業的使命、角色和需求來制定。
- 企業公開金鑰基礎架構 (PKI) – 此系統負責產生和登記憑證給資源、對象、服務和應用程式。
- ID 管理系統 – 此系統負責產生、儲存和管理使用者資訊,包括:姓名、電子郵件地址以及憑證。此系統也負責管理與企業協同合作的非企業員工的使用者資訊。
- 資安事件管理 (SIEM) 系統 – SIEM 負責蒐集可用來建立政策並對攻擊發出警訊的資安資訊。
零信任架構示意圖
其他成功關鍵因素
零信任的成功與否,還有一些其他關鍵因素,包括:優先處理您現有架構當中已經過時和影響較大的元素。另一項關鍵因素是聚焦於可視性,這是零信任專案最常被忽略的一個層面。就像那些零信任方法的早期採用者所一致認同的:您只能信任您眼睛所看到的。
網路微分割確實是一個有效的技巧,但若沒有強大的零信任身分認證做基礎,更多的微分割只會讓零信任的效益遞減。