零信任模型對現代企業環境和複雜的企業網路而言極具價值,這些環境通常包含眾多互連部門、行動與遠端連結,還有以雲端為基礎的基礎設施和服務,再加上物聯網(IoT)裝置。
什麼是零信任模型(zero trust model)?零信任安全模型的目標,是以「永不信任,始終驗證」的理念來保護企業網路不受攻擊;透過將網路預設為不信任所有裝置或使用者,來建構零信任安全性原則,這意味著網路應該永遠不信任所有實體,就算它先前曾經通過驗證。
零信任模型對現代企業環境和複雜的企業網路而言極具價值,這些環境通常包含眾多互連部門、行動與遠端連結,還有以雲端為基礎的基礎設施和服務,再加上物聯網(IoT)裝置。
零信任安全能提供各種控制,可用於強化現代企業環境的安全性,包括雙向驗證(mutual authentication)技術:
零信任模型的優缺點
以下是零信任模型的一些優勢:
以下則是零信任策略面臨的一些挑戰:
幸運的是,新技術仍在演進,有助於因應許多挑戰。在早期,零信任方案得從零開始建構,而如今零信任遠遠不只是一款產品,已經有成熟的專屬解決方案,可以幫助設置零信任堆疊的絕大部份。接著讓我們來看最重要的一些零信任技術。
微分段
微分段(microsegmentation)是零信任的基礎技術,能將網路拆分為具邏輯性的安全單元。該技術允許定義和執行策略,以控制網路每個分段區域內的資料和應用程式的存取和使用。
微分段旨在限制從一個分段到另一分段的流量,這種方式可限制攻擊行為在整個網路的橫向移動,從而將攻擊面縮減至最小。網路微分段也可以應用於資料中心以及雲端環境。在零信任環境中,所有其他零組件都整合了微分段能力,或是本身可以提供,以圍繞著每個寶貴資產打造安全的微型邊界。
安全存取服務邊緣
SASE (Secure Access Service Edge)是一種雲端架構模型,將廣域網路(WAN)功能性與安全即服務(Security as a Service)功能結合於一個集中化的服務。企業組織可以使用SASE將所有安全和網路工具集中到單一的管理平台上。
SASE的主要優勢包括:
擴展偵測與回應
Extended Detection and Response (XDR)工具提供以SaaS為基礎的事件回應和威脅偵測功能,將數個安全產品整合到一個集中化的安全作業系統。市面上有以供應商為中心的XDR工具,可在一個授權下提供多個整合元件;開放性XDR工具則專注於資料儲存與分析,能與現有安全工具整合。
XDR的主要優勢如下:
MITRE的ATT&CK框架
MITRE是一個非營利組織,提供有關網路威脅的資訊,助力解決網路防禦問題;此外該組織提供對抗性戰術、技術和共用知識庫(Adversarial Tactics, Techniques & Common Knowledge,ATT&CK)框架,供全球免費存取。
MITRE的ATT&C框架提供了有關對抗戰術和技術的最新資訊;它基於對現實世界中的觀察和不斷發展的戰術、技術和矩陣知識庫,可利用該框架來強化網路安全策略。
ATT&CK本身並非零信任技術,然而在零信任環境中,威脅情報是對使用者連結進行智慧驗證和監控的關鍵。這種全面性的戰術、技術和流程(TTP)集合,可幫助識別系統中存在的威脅,並透過強化網路分段和撤銷存取來自動回應。
次世代防火牆
Next-generation Firewall (NGFW)在應用層分析和阻擋惡意流量,並實施微分段規則,是第三代防火牆技術,可當作軟體或硬體來部署。這種防火牆在多個層級(包括連接埠、通訊協定和應用程式)執行安全性原則,以偵測和阻擋複雜的攻擊。NGFW包括以下主要功能:
NGFW技術的獨特之處在於可以掌握通過防火牆的不同類型網路應用程式流量,使用此資訊來阻止可能利用安全性漏洞的流量。因其具有應用程式感知、先進的偵測能力以及能與網路分段緊密結合,故在零信任設置中非常關鍵。
身份識別與存取管理
Identity and Access Management (IAM)支援對混合環境中的使用者存取和許可權進行細微控制,提供有助於管理數位和電子身份的技術、流程和策略,在零信任設置中,使用IAM來控制使用者對所有內容的存取──無論是在公司網路、雲端環境中或其他地方。
以下是IAM的主要功能,可為零信任提供安全的分散式存取:
IAM技術還能夠安全儲存設定檔和身份識別資料。此外,許多工具提供資料管理功能,以協助控管哪些資料使用者可以存取和共用,為零信任模型增加另外一層保護。
結語
實現零信任並非簡單任務,但無論如何,早期那種以人工進行網路分段和臨時授權方案為基礎的DIY時代已經過去了。像是SASE、NGFW和IAM這類技術都已成為新的功能區塊,讓零信任安全模型更易於管理、更具效益,也不會那麼讓人不知所措。期望本文能為著手於混合性組織環境部署零信任架構的讀者帶來用處!
本文同步刊登於《電子工程專輯》雜誌2022年5月號
責編:Judith Cheng
(參考原文:Zero trust building blocks ease implementation,By Gilad David Maayan;原文刊載於EE Times姊妹網站、ASPENCORE旗下Embedded網站,作者為產業顧問機構Agile SEO負責人)
加入我們官方帳號LINE@,最新消息一手掌握!