什麼是零信任安全機制?
零信任是一種用於保護機構的安全性模型,其依據為不應預設信任任何使用者或裝置,即使對方已存在於機構的網路內。零信任機制會在整個網路上 (而不只是在信任的範圍內) 強制執行嚴格的身分驗證和授權,藉此移除隱含的信任。在這個模型中,所有存取資源的要求都會視為來自不受信任的網路,直到經過檢查及驗證為止。
Forrester Research 分析師 John Kindervag 在 2010 年首次提出零信任安全性模型。這標示了與傳統 IT 安全性模型不同的發展;傳統模型主要著重於在網路範圍中保護存取權,並假設內部的一切都值得信賴。
然而,如果攻擊者獲得網路存取權,則傳統做法幾乎沒有防禦機制。只要進入網路,攻擊者就能自由移動,並嘗試延伸至對高價值資料和資產的存取,這項技術稱為水平擴散。如今,隨著資源和資料傳播,從單一位置實作網路的安全性控制變得困難,對現今的 IT 環境而言更是棘手。
零信任機制有助於公司強化 IT 環境的安全性,並限制或防範攻擊。
進一步瞭解 Google 如何實施 BeyondCorp 零信任雲端安全性模型,將存取權控管從網路範圍移轉至個別使用者和裝置。
零信任的定義
零信任是一種雲端安全性模型,藉由移除隱含的信任,並強制實行嚴格的身分驗證和授權機制,來保護現代機構。在零信任機制下,不論使用者是屬於機構網路內部或外部,一律將所有使用者、裝置和元件視為不受信任。
零信任機制如何運作?
零信任消除了受信任的網路邊緣的概念,並假設要求存取的使用者或服務都是潛在威脅,無論他們是否在您的網路中,或他們之前連線的次數。
儘管很多人都會將零信任定義簡化為「不信任任何人和物」或「絕不信任,一律驗證」,但這些簡化的定義並不完整。相反的,零信任的核心概念是在連接的系統中預設信任任何使用者或裝置,即便是基礎元件,也會產生嚴重的安全性風險。因此,必須透過動態且符合情境的安全性政策和各種技術機制,建立並持續驗證信任。
這種方法利用精細的政策控管功能,透過微區隔將網路劃分成多個小區隔和獨立的工作負載。政策是以身分、位置、裝置、使用者存取的內容和應用程式為依據。此外,政策是動態的,所以會定期重新評估,並根據內容變化進行調整。
根據預設,使用者無法存取資料和資源,且連線只有在經過驗證及授權之後,系統才會授予嚴格控管的存取權。這項程序適用於任何使用者或已連線的端點,而且身分會持續進行驗證。此外,系統會密切記錄、監控及分析所有網路流量,以偵測是否有遭駭信號。
以下提供一個更簡單的思考方式:將您的網路和基礎架構想像成最重要的秘密政府機關,零信任就是安全系統。當中包含標準範圍安全性,以及用來偵測未經授權的存取的警告和感應器。
零信任機制可保護範圍內的所有存取點。建築物中的每一側和每個房間也會保持鎖定狀態,並使用生物特徵辨識系統控制門。即便您在前門入口通過安全性檢查,仍須掃描指紋,才能在每扇門前證明您的身分,且必須取得適當的安全性權限才能通過。您只能進入需要進入的區域,且只能停留完成業務所需的時間。
三個零信任概念
零信任模型包含多種實作項目,包括零信任網路存取權 (ZTNA)、零信任架構 (ZTA) 和零信任邊緣 (ZTE)。但都是以相同的核心概念為基礎所建構。
以下是建構模型的三個零信任原則:
- 一律假設所有網路流量都是威脅。零信任將每位使用者都視為惡意,而且不論網路內外,威脅無所不在。因此,凡是沒有明確權限的流量,都會自動拒絕存取。每部裝置、使用者和網路流程在要求存取時,都會持續經過驗證、授權和驗證。
- 強制執行最低權限的存取權。零信任安全性機制會視需求授予最低權限存取權、最低權限和所需資源的存取權,而不會影響完成工作的能力。最低權限的存取權存取可防止攻擊者在帳戶或裝置遭到入侵時,橫向移動至更重要的資源。
- 隨時監控。零信任模式提倡隨時持續監控及分析和管理網路活動。這樣一來,您就能即時瞭解哪些實體嘗試存取資源,並協助找出潛在威脅、作用中事件,以及應調查的異常狀況。
這些 Forrester 最初列出的零信任原則也與美國國家標準及技術院 (NIST) 制定的 零信任架構一致。我們強烈建議您參閱 NIST 架構的相關指南,瞭解在自己的機構中導入零信任安全性模型的實際步驟。
為什麼要使用零信任模型?
現今最嚴重的資料侵害事件,不只是攻擊者為了侵入網路範圍而想找出方法的後果。隨著雲端運算和遠端工作團隊的興起,許多機構也難以避免日益擴大的分散式環境和有空隙的範圍。現在,系統會在多個服務、裝置、應用程式和使用者中產生、儲存及分享資料,且可從全世界的任何位置存取這些資料。
許多威脅執行者發現,在混合雲環境中利用網路漏洞和涵蓋範圍落差是有利可圖的事。越來越多的重大侵害事件都起因於遭盜用的帳戶,包括因社交工程及其他複雜的技術、意外或蓄意威脅,以及第三方供應商的安全性做法弱點所導致。
安全性團隊現在已體認到,和外部威脅一樣,威脅也可能來自網路內部。
機構會嘗試實施深度防護層級的安全性措施,目的是在當保護措施失敗時,提供備援機制及備份安全性。不過,這種方法在實作、管理及維護方面通常相當廣泛且複雜,尤其是當引入新系統、人員、服務和裝置時,必須不斷地調整並修改一切。
零信任機制採用深度防護策略,不過其目標是要盡可能降低受威脅面,並打造固有安全的環境,這樣就不必辨識及緩解每個潛在威脅。重點在於停止存取重要業務資產,並即時防止攻擊者透過網路水平移動。零信任機制提供整合式的安全性方法,為分散式環境提供全方位、可彈性調整的防護機制,同時仍允許進行安全的存取。
使用零信任模型的好處
瀏覽權限提升
零信任安全機制要求企業知道資產的所在位置,並持續監控用來存取資源的身分和方式。如此可改善流量的能見度和背景資訊、資產儲存庫和風險管理。
限制漏洞的影響範圍
由於授予身分最低權限存取權,因此在出現漏洞時,零信任度有助於限制損害的範圍。這可讓團隊更快速地回應及緩解攻擊,並降低進一步曝光的風險。
現代 IT 環境中的存取權控管機制
在零信任架構之下,安全性政策是以身分為基礎,並與特定工作負載相關聯。如此一來,就能將安全性與受保護的資產結合,因此無論環境為何,都能與工作負載一起傳輸。
一致、可調整的安全機制
在零信任模型中會集中管理安全性政策,且須仰賴自動化功能來依據背景資訊來遷移及更新政策。可以提高安全性的靈活度和擴充性,同時減輕管理員的負擔。
減少受攻擊面和風險
零信任可隔離流量,建立網路區隔以防止橫向移動,並防止任何潛在感染傳播至重要資源。系統可檢查所有可疑活動,並透過政策和控制項再次驗證身分,降低成功侵害的機率。
長期確保法規遵循
在零信任下,系統會記錄和評估所有流量和要求。此外,也能鎖定資源的存取權。如果侵害事件發生,此機制不僅會提供清楚的稽核追蹤資訊,同時也能讓您更輕鬆地證明自己已盡可能遵守資料隱私權規定和標準。
使用零信任模型的挑戰
當然,任何做法都有其困難之處。轉型為零信任機制,可能需要花費數年的時間,並需要審慎規劃。
採用零信任機制的幾個棘手挑戰如下:
- 一致性。如果能採取正確的做法,零信任就能夠如預期提供優異的安全性。但是,機構也需要制定一致的策略。大多數機構在逐漸淘汰傳統安全性解決方案時,必須分階段進行變更;不過,他們也必須確保過程中不會有任何差距擴大。
- 抑制生產力。零信任機制為多數工作流程增加額外的安全步驟,如果實施不當,可能會影響生產力。關鍵在於輔助工作及取得強大的安全防護機制之間,找出理想的策略平衡。如果處理程序太過雜亂,個人可能會試圖規避這些程序。
- 打擊內部威脅。雖然零信任機制可以透過最低權限的存取權減少內部威脅,但這並不是萬靈丹。攻擊者通常會使用網路釣魚或恐嚇軟體等手法竊取憑證,誘騙使用者提供機密資訊,藉此取得存取管道。或者,在最糟糕的情況下,您可能會遇到惡意人士意圖濫用他們的權限。為了讓零信任機制有效防範內部威脅,您必須能夠監控及偵測整個機構中的任何模式異常情況。
- 維護政策和架構。隨著業務持續成長和發展,零信任政策與權限結構也必須持續更新。零信任模型需要具備精確定義的政策和有效的政策管理機制,因此也必須主動維護及設定,以防止資料侵害事件發生。
相關產品和服務
BeyondCorp 是 Google 實作的零信任網路架構,不需要任何傳統 VPN,即可從任何裝置或網路安全地進行存取。BeyondCorp 使用各種 Google Cloud 工具,例如單一登入、Access Context Manager 和 Identity-Aware Proxy,將範圍從網路延伸到個別裝置和使用者。
BeyondCorp 提供一組存取權控管,透過驗證和授權工作流程來驗證身分,藉此授予資源的存取權,讓機構在不影響生產力的情況下持續驗證信任關係。
