何謂零信任網路?

基本上,零信任網路的精髓就是:沒有任何連上網路的使用者、裝置或資產原生就是安全的。每一次的連線,在被證明可以信任之前都不能被信任。零信任 (ZT) 網路已將今日企業的工作方式、個人自備裝置 (BYOD)、遠距上班、雲端元素、服務型態 (as-a-service) 的解決方案全部都納入網路資安的考量範疇當中,每一次的存取都必須持續受到監控以及反覆不斷授權。

邊界防護

傳統的網路資安方法是在能夠存取企業資產的網路周圍築起一道安全「圍籬」,防止駭客進入內部散播惡意程式和勒索病毒。這樣的方法一般稱為邊界防護。但這套方法存在著一些缺點,不論閘道口的戒備多麼森嚴,駭客一旦能夠通過,就能在防火牆內暢行無阻。不僅如此,近年來網路的邊界越來越模糊,逐漸延伸到企業邊界之外,將遠距上班與軟體服務 (SaaS) 應用程式都拉到了邊界內部。

有些資安策略 (例如 MFA 多重認證) 確實有助於強化閘道安全,而且也很重要,但是這些策略並未解決網路多樣化之後所帶來的危險。駭客或許必須花費更多力氣,但只要能夠進入,駭客就能在內部網路四處遊走,到處散播勒索病毒或竊取資訊。

愛因斯坦 (Albert Einstein) 曾經說過:「問題不能用原本創造出問題的思維方式來解決。」 零信任就是一種截然不同的資安思維。

邊界防護的假設前提是,除非資安系統將某個使用者或連線標註為不安全,否則就是值得信任。反觀絕對的零信任是假設駭客隨時都在身邊,不論是企業邊界的內部或外部,因此沒有任何連線在通過認證之前是安全的。

移轉至零信任方法

零信任是一種資安方法,而非某種活動,或是某種服務或產品。移轉至零信任的網路資安是一個長期的進程。在轉換過程中,您很可能仍需保有某些目前正在使用的產品和服務,只不過使用方式會有所不同。隨著資安營運中心 (SOC) 持續進行各種現代化專案,絕大部分的網路都會經歷一段混合時期。真正的「純」零信任網路必須一開始就依照零信任的原則從頭打造。  

所以,移轉至零信任方法一開始最重要的就是要有一套妥善的計畫。這套計畫要先找出企業基礎架構內的所有資產、對象、業務流程、資料流向以及它們彼此之間的依賴關係。藉由一點一點的建置專案逐步打造零信任架構,可讓您看到明確的進度並追蹤成果。

至於計畫的內容,應該涵蓋企業的所有資產:

  • 裝置
  • 基礎架構元件
  • 應用程式
  • 虛擬元件
  • 雲端元件

此外還應涵蓋所有的對象:

  • 終端使用者
  • 應用程式
  • 請求資訊的「非人類」個體

零信任網路元素

要導入零信任的方法,有一些因素是您在移轉網路時必須考量的。以下說明您可採取什麼樣的步驟來讓您的基礎架構逐漸邁向零信任框架。

實施微分割

零信任網路的基本理念之一就是微分割,也就是讓工作負載彼此隔離,然後個別加以保護來限制存取。在舊式的邊界防護環境中,駭客一旦進到內部,就能存取整個網路。微分割可縮小受攻擊面,降低每一次駭客入侵所造成的損害。

將容易遭到攻擊的技術隔離

有些資通訊技術 (ICT) 裝置,例如手機、個人電腦、電子郵件或電視,會採用寫死、無法修補漏洞的作業系統 (OS)。而營運技術 (OT) 裝置,如工業機器人或醫療設備,也有類似的困難。然而它們都逐漸進入了企業工作流程當中。像這樣的裝置必須透過嚴格的政策來將它們隔離,以降低被入侵的機率。

保護子網路

子網路是整個大網路底下的一些小網路,子網路可提升網路安全、效能和韌性。而這也是零信任策略防範惡意程式和其他惡意工具的一項手段。請確定子網路的警報和記錄檔都彙整到您的主控台上,以方便進行調查和處置。

保護遠端存取

在零信任方法出現之前,建立遠端連線安全的技術在被標註為不安全之前都被視為可以信任。然而一些常用技術的資安漏洞卻越來越常見。軟體定義的網路越來越盛行,行動性不斷增加,尤其是在 COVID-19 疫情期間。這衍生出許多未受管理的端點裝置、未經核准的軟體服務 (SaaS) 以及未受保護的軟體定義廣域網路 (SD-WAN)。

  • 虛擬私人網路 (VPN) – VPN 連線的安全保護只侷限於網路的邊界,使用者只要獲准進入,就能存取整個網路。VPN 製造了一種假象是它們值得信任。此外,VPN 的安全保護也越來越無法應付軟體定義的網路。
  • 雲端存取安全仲介 (CASB) – CASB 的主要問題在於其安全措施缺乏彈性。當軟體定義網路越來越自由、員工越來越行動化,其資安措施卻無法跟著彈性變化。
  • 安全網站閘道 (SWG) – SWG 遇到可從任何地方連線工作的員工就可能遇到問題。

 

遠端連線的解決方案一直在不斷演變,不過現在已經有一些能配合行動工作習慣與零信任方法的選擇出現。

  • 安全存取服務邊緣 (SASE) – SASE 可歸納到零信任的範疇之下,讓企業在某些領域實現零信任的原則。這是 Gartner 分析師所使用的詞彙。SASE 解決方案中的組成元素視情況而異,但通常包括 CASB、SWG、ZTNA 以及 SD-WAN 等技術,提供私有 SaaS 應用程式 (在企業資料中心或 IaaS 內部) 或公有 SaaS 應用程式的存取。
  • 零信任邊緣 (ZTE) – 這是 SASE 的另一種說法。這是 Forrester 分析師所使用的詞彙。
  • 零信任網路存取 (ZTNA) – ZTNA 可歸納到 SASE 或 ZTE 的定義之下,是一種雲端式零信任資安解決方案,讓使用者只能存取他們獲得個別授權的應用程式。這樣的做法符合零信任的方法,能在發生駭客入侵時降低損害。ZTNA 跟 VPN 一樣會將資料加密來確保安全,但卻大幅改善了使用體驗,而且更有彈性。

相關研究

相關文章