Zero Trust零信任浪潮席捲全球
文 / 劉虹君
二○二一年台灣資安大會上,許多講者提到零信任的網路概念。其實零信任概念發展已久,這種提升網路安全的方式,因為COVID-19疫情的影響,更加速其發展。
隨著企業不斷改進結構,在數據中心與邊緣之間部署應用程式,使邊緣至雲端的資安變得越來越複雜。此外,網絡攻擊者亦日漸掌握先進的入侵技術,能夠長期藏身於企業系統之內,隨時造成損害。
零信任網絡安全架構基礎
雖然全球已從全面封鎖到逐漸解封,但是企業大部分繼續採用居家上班WFH(Work From Home),這已經成為後疫時期的新常態。隨之而來的,是新一波遠端帶入需求以及資安的問題,不僅讓VPN在全球性大規模遠端辦公巨變中大幅成長,同時也因網路資源消耗、連網速度卡頓影響辦公效率而備受批評,進而讓全球企業思考更好更安全的網路安全架構,而讓實施零信任網路架構迎來最佳發展時機。
COVID-19疫情加速了因應遠端工作帶來的網路威脅,解決方案需求殷切。在疫情期間,企業員工點擊到惡意URL的風險提高。整體而言許多公司在尋求營運數位轉型過程中,已讓「零信任」技術在過去兩年中贏得了不少擁護者,只是新常態經濟讓它一夜成為新寵。在這樣的趨勢之下,零信任已成網路安全防護的新焦點,加上二○二○年全球疫情持續至今,遠端工作議題重新被思考,台灣在二○二一年也深受其影響,因此,對於零信任這樣的網路安全趨勢,勢必成為台灣企業與組織,都值得參考與重視的資安思維。
零信任趨勢各家廠商打出大旗
關於Zero Trust 的網路安全戰略,這股資安防護趨勢其實醞釀已久,最近幾年才成為熱門焦點,Microsoft-零信任模型,以現代化安全性結構來強調Microsoft安全性、合規性和身分識別,表示現今的組織需要新的資訊安全模型,能更有效地適應現代化環境的複雜性、採用混合式工作場所,以及保護任何位置的人員、裝置、應用程式和資料。隨時隨地保持生產力,讓使用者可以在任何裝置上更安全地工作。
雲端移轉為現今複雜的環境啟用具有智慧型安全性的數位轉型。風險降低,封閉安全性缺口,並將橫向移動的風險降到最低。
VMware實現零信任架構
依循 Forrester 公司於二○一○年提出的五步驟方法,即可簡單部署和維護零信任架構。
一.識別保護範圍,包括敏感資料和應用程式。對此,Forrester公司建議採用簡單的三大類別模式,將內容區分為公開、內部和機密。在分類後,就能將需要保護的資料劃分至微周邊中,然後將微周邊相互連結,以建構更廣大的零信任網路。
二.比對所有敏感資料的交易流量,以瞭解資料如何在人員、應用程式,以及連往商業合作夥伴及客戶的外部連線之間移動。接著,就能公開且保護網路和系統物件的相依性。此舉有助於實現流量最佳化,繼而提升整體效能和安全性。
三.定義每個微周邊的零信任架構,這項作業應以資料和交易在企業(和外部合作夥伴)流動的方式做為依據,並透過軟體定義的網路(SDN),以及使用實體或虛擬新一代防火牆的安全性通訊協定來達成。
四.在網路設計完成後建立零信任原則。許多組織會採用 Kipling Method,以判斷原則和網路的使用人員、內容、時機、位置、原因和方法。如此一來,就能制訂精密的第七層施行原則,只讓已知且經授權的應用程式或使用者存取保護範圍,同時假定所有個人裝置(無論是公司自有裝置或用戶自攜裝置) 都不安全。
五.進行自動化、監控和維護,以透過監控周邊活動來判斷異常流量位於何處、掌握異常活動的發生地點、監控所有周邊活動;然後,將日誌記錄流量的檢查和分析作業自動化,進而在不影響作業的情況下傳輸資料。
本期簡單列舉幾家,資安的領域裡面,有越來越多專家、廠商近年來都在提倡零信任,而它的核心精神就是「Never Trust, Always Verify」,Zero Trust零信任網路安全架構將成為未來十年主流的網路安全架構之一。
零信任的概念會更廣泛落實,針對網路、使用者、裝置,以及工作負載、資料等層面,並且充分運用資料收集與分析,以及自動化、調度指揮等能力,持續活化企業整體防禦。