https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

解決方案

X-FORT端點零信任架構解決方案

2021 / 07 / 14
編輯部
X-FORT端點零信任架構解決方案
隨著疫情的發展,居家工作普遍多了起來。組織原本規劃的遠距工作架構,是專門為機動用戶及合作廠商的需求,有限度的控制存取使用。傳統外圍邊境網路安全防護方法,側重於將威脅阻擋於門外,很容易忽視網路內部使用者和設備產生的威脅。傳統的網絡安全架構主要利用防火牆、VPN、NAC網路存取控制、IDS、IPS、SIEM 和電子郵件過濾,在外圍構建多層縱深的安全防護網。換句話說,員工是在有護城河的城堡裡面工作的。

在現今突然必須離開城堡,面對大量居家工作成為主要挑戰,原本的設計就不適合用在沒有邊境的環境。
  • 預設情況下,“驗證然後信任”的策略,信任內部的用戶存取。擁有正確用戶身分驗證的人可以被允許存取完整站台、應用程式或設備。這形成了不同的攻擊面,由家裡延伸到公司,被淪陷的居家設備可能危及組織的資源。
  • 不一致的使用者工作體驗,工作流程與公司內的流程具一定程度差異,失誤操作及誤設定的機率提高。
  • 居家環境沒有足夠安全保護,為了順利銜接工作不影響業務營運,組織IT優先考量的一定是可用性。而安全保護這方面,受限於居家客觀環境差異,不容易維持一致的水準。

X-FORT 依循零信任架構下,提供了四個面向的保護機制

Zero Trust Application
  • 應用程式控管使用白名單機制(Whitelisting),建立信任程式的存取規則,防止位未授權程式執行。在白名單之外的程序一律不被信任。
  • 檔案存取控制FAC,限制非信任應用程式對資料夾內的檔案存取。每一個資料夾都可單獨建立信任應用程式清單,除此之外的任何應用程式、程序都不能存取資料夾內檔案。
Zero Trust Device
  • 未經註冊授權的儲存裝置,限制存取。依業務需求彈性允許信任裝置讀取或寫出,而禁止存取非信任裝置。
  • 限制端點連接外接裝置,降低藉由外接裝置入侵的風險。本機連接裝置包括藍芽、點對點連線裝置、手機、相機、紅外線、燒錄器、光碟…等。
Zero Trust Network Access
  • 端點存取控制。
未經授權的非信任端點限制存取受保護的端點
  • 預設有安裝X-FORT Agent的用戶端,允許存取安裝有X-FORT Agent 的用戶端。而其他的裝置或用戶端存取將被X-FORT阻擋。
  • SVT Secured Virtual Tunnel。

阻擋未授權的用戶端存取伺服器資源。使用者存取伺服器必須具備二個條件,一是安裝X-FORT且經過身分驗證的合法用戶端;二是被授權存取的目的伺服器,依據其身分授予不同的存取權限,例如美工設計不能存取研發中心的伺服器。

零信任架構可以整合應用在業務流程、服務和系統中,從而更有效率地保護組織資產。就像應用程式控管利用白名單機制,除了被核准過的以外,阻擋其他非信任應用程式。在可能入侵發生之前就可以有效阻止。FAC 則進一步確保檔案存取的安全,避免未經授權的變更或破壞。Zero Trust Device  與 Zero Trust Network Access 則形成了小型區段間隔,能夠最大程度地減少損害。藉由只允許信任連線並拒絕其餘所有連線,來防止攻擊者在伺服器到伺服器的橫向擴散。

本文轉載自精品科技。