所謂的「零信任」(Zero Trust,簡稱 ZT) 是一種網路資安的架構和目標,它的假設前提是:任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。零信任網路資安策略看待網路的方式與傳統的資安觀念截然不同,傳統的觀念認為網路在被發現遭到入侵之前是安全的。
🔻本文重點預覽:
- 邊界之外的資安
- 零信任資安模型
- 零信任標準
- 零信任觀念的混淆
- 改用零信任架構
- 零信任原則
- 踏上零信任之路
邊界之外的資安
在過去十年左右的時間裡,企業已經變得越來越數位化。現在,他們紛紛擁抱雲端架構、支援更多的遠距上班模式,並且在轉型的過程中導入了各種X即服務型態 (as-a-service) 的解決方案。為此,資安團隊也擴大了網路防護的規模,而且通常會將網路細分成多個較小的區域來提升安全。
但不幸的是,這樣的策略反而為駭客製造了更多機會。當駭客取得了使用者的登入資訊時,他們就能在網路內部四處遊走,並且一邊散播勒索病毒、一邊取得更高的系統權限。
多重認證 (MFA) 雖然可提升登入憑證的安全性,但也只不過是增加了一道額外的認證。駭客一旦登入,就能持續對系統進行存取,除非他們自己登出,或者系統將他們登出。
各種新的工作方式,包括:使用個人自備裝置 (BYOD)、遠距上班、雲端架構等等,都會帶來新的資安漏洞。但即使擁有更新、更強的網路資安防護,能夠提升企業網路邊界的可視性,但過了邊界之外就無法掌握。
零信任資安模型
零信任的網路資安徹底顛覆了舊的典範,網路資安再也不是靠著細分的網段或是企業網路邊境來維護安全。信任與否,將不再根據連線或資產是否為企業或使用者所擁有來判斷。此外,也不再根據實體位置或網路位置 (也就是位於網際網路或區域網路) 來判斷。
零信任的方法是以個別的資源、使用者和資產本身為主體,而不是看它們的擁有者或所在位置。每位使用者在存取企業的每項資源之前,都必須個別通過認證。
其終極目標就是:對於任何網路元素,在通過認證之前,都應保持零信任的態度。
零信任標準
那麼零信任的方法目前是否有任何可遵循的認證和標準?簡單來說:沒有。美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 是美國商務部 (Department of Commerce) 轄下的一個單位,成立於 1901 年,專門制定各種技術、量測與標準來提升美國的科技競爭力。
NIST 制定了各種通訊、科技與網路資安實務的標準。該單位目前尚未制定任何關於零信任的標準或認證,不過它已經製作了一份特刊 (Special Publication,簡稱 SP) 來討論零信任架構的目標。
這份特刊在摘要中對「零信任」提供了這樣的描述:「零信任一詞描述的是一種演進中的網路資安典範,將防禦從靜態、以網路邊界為基礎,轉移到以使用者、資產及資源為主體。」 接著,便繼續深入描述所謂的零信任方法。
零信任觀念的混淆
網路資安領域對於零信任存在著一些混淆觀念,有些廠商利用這些混淆的觀念來銷售一些標榜零信任的產品,這使得一些不熟悉零信任概念的人誤以為零信任是一種產品功能。
其實零信任無關乎特定產品,不論新舊產品都能拿來打造零信任的架構。零信任是一種革命性的網路資安方法論,而且跟企業及員工今日連線與協同作業的方式有很大關係。
改用零信任架構
如果企業正在從頭打造自己的基礎架構,那就有機會先找出企業的關鍵工作流程與元素,然後再以此為基礎打造出純粹零信任的架構,而這或許也會單純一點。長期而言,就算企業和基礎架構會不斷變化,企業還是能在成長過程當中堅守零信任的原則。
實務上,零信任架構的建置大多是一個持續的過程,企業會有一段時間在零信任與傳統以邊界為基礎的資安之間維持一定的平衡,然後逐漸朝現代化的目標邁進。
零信任架構的完全建立大約需要好幾年的時間,而且通常需要經歷多個不同的專案之後才能達到零信任的終極目標。不過,零信任其實也沒有所謂「到達」的一天,因為這是一個不斷針對未來的業務與基礎架構變化而建置並落實零信任策略的進程。
事先擬好一套行動計畫,可有助於將這整個進程細分成多個較小的目標,並隨著時間不斷累積小小成就。一開始可以先從徹底盤點企業的所有對象、業務流程、資料流向以及彼此之間的依賴關係著手,這樣能幫助您保護可能被攻擊的對象、資產與業務流程。
零信任原則
零信任架構是一種目標、也是一種方法,需要時間及專注力來達成。它不是光靠一次部署就能達成並繼續尋找下一個目標。它是一種由四大主要原則所支撐的網路資安理念,其中某些原則可能需要用到特定資安技術 (例如 MFA身分識別技術),但這些技術會隨著時間而改變。
零信任方法是以三項基本作業為基礎:
- 資安狀況的掌握 – 在傳統以邊界為基礎的資安方法當中,身分認證不是很少執行,就是黑白分明 (完全信任或完全不信任)。但零信任方法卻是持續不斷評估身分、裝置、應用程式以及資料使用方式是否存在任何可能或嚴重的風險。資安狀態是一種關於整體情勢的非量化屬性。
- 持續評估是否繼續信任 – 零信任方法會持續評估所有的互動。過去曾有一種名為「網路核准控管」(NAC) 的方法就有一點這樣的味道,但那仍只針對單一檢查點,而且檢查的條件也不多,然後就完全信任。反觀零信任架構是將每一次的存取都視為一個檢查點。
- 預設已經遭到入侵 – 資安營運中心 (SOC) 團隊的運作原則通常是「檢驗通過之後就完全信任」。它的假設前提是:在資安系統沒有發出警訊之前,一切都安好。而零信任方法則是假設沒有什麼是安全的,所以在沒有徹底確認清楚之前,什麼都不能完全信任。
踏上零信任之路
零信任架構的建置必須逐步完成,而且必須隨時貫徹。它並非完全地取代舊有的機制,或是部署一次就能到位然後永遠存在於網路上。這是一個需要多年的時間以及多個專案來逐步實現的進程,牽涉到網路的多個層面,而且須隨著工作習慣、科技發展以及威脅的演變而不斷評估調整。
您的企業該如何導入零信任方法,取決於您的營運方式。先從您最珍貴的資產開始著手,會是一個不錯的起點。
零信任之路包含了四大元素:
- 身分與存取管理 (IAM) – 使用者想要的是單一簽入 (single-sign-on) 而系統管理員想要的是將使用者管理彙整。IAM 要能成功,必須要在企業資安要求以及可用性、實用性及成本效率之間取得平衡。一開始可以先找出有哪些使用者需要存取哪些資源,然後針對特別敏感的資源,增加額外的多重認證 (MFA)。
- 特權存取管理 (PAM) – 針對企業最敏感的資源,目前有一些像 CyberArk、BeyondTrust 或 Thycotic 的 PAM 工具可增加一道額外的資安防護。這不僅可以提升安全,還能提高可視性。
- 密碼 – 業界對於密碼的看法也是隨時間改變,最近 NIST 就發布了新的指引。根據他們的分析,他們建議人們使用一些熟悉的字來組成一串很長的密碼,而非使用一組隨機的字元,因為這樣很不好記。此外,由於密碼一旦遭到外洩,很快就會被駭客拿來利用,因此 NIST 認為每 90 天更換一次密碼其實無法降低風險,反倒是多重認證還比較有效。
- 持續監控 – 擬定您企業的存取政策,不論是根據時間、新的資源請求、資源修改,或者是異常狀況都可以。在授予存取權限之前,務必嚴格執行認證與授權。
◼ 原文來源: What Is Zero Trust?
