隨著疫情的發展,居家工作普遍多了起來。組織原本規劃的遠距工作架構,是專門為機動用戶及合作廠商的需求,有限度的控制存取使用。傳統外圍邊境網路安全防護方法,側重於將威脅阻擋於門外,很容易忽視網路內部使用者和設備產生的威脅。傳統的網絡安全架構主要利用防火牆、VPN、NAC網路存取控制、IDS、IPS、SIEM 和電子郵件過濾,在外圍構建多層縱深的安全防護網。換句話說,員工是在有護城河的城堡裡面工作的。
在現今突然必須離開城堡,面對大量居家工作成為主要挑戰,原本的設計就不適合用在沒有邊境的環境。
- 預設情況下,“驗證然後信任”的策略,信任內部的用戶存取。擁有正確用戶身分驗證的人可以被允許存取完整站台、應用程式或設備。這形成了不同的攻擊面,由家裡延伸到公司,被淪陷的居家設備可能危及組織的資源。
- 不一致的使用者工作體驗,工作流程與公司內的流程具一定程度差異,失誤操作及誤設定的機率提高。
- 居家環境沒有足夠安全保護,為了順利銜接工作不影響業務營運,組織IT優先考量的一定是可用性。而安全保護這方面,受限於居家客觀環境差異,不容易維持一致的水準。
X-FORT 依循零信任架構下,提供了四個面向的保護機制
Zero Trust Application
- 應用程式控管使用白名單機制(Whitelisting),建立信任程式的存取規則,防止位未授權程式執行。在白名單之外的程序一律不被信任。
- 檔案存取控制FAC,限制非信任應用程式對資料夾內的檔案存取。每一個資料夾都可單獨建立信任應用程式清單,除此之外的任何應用程式、程序都不能存取資料夾內檔案。
Zero Trust Device
- 未經註冊授權的儲存裝置,限制存取。依業務需求彈性允許信任裝置讀取或寫出,而禁止存取非信任裝置。
- 限制端點連接外接裝置,降低藉由外接裝置入侵的風險。本機連接裝置包括藍芽、點對點連線裝置、手機、相機、紅外線、燒錄器、光碟…等。
Zero Trust Network Access
未經授權的非信任端點限制存取受保護的端點
- 預設有安裝X-FORT Agent的用戶端,允許存取安裝有X-FORT Agent 的用戶端。而其他的裝置或用戶端存取將被X-FORT阻擋。
- SVT Secured Virtual Tunnel。
阻擋未授權的用戶端存取伺服器資源。使用者存取伺服器必須具備二個條件,一是安裝X-FORT且經過身分驗證的合法用戶端;二是被授權存取的目的伺服器,依據其身分授予不同的存取權限,例如美工設計不能存取研發中心的伺服器。
零信任架構可以整合應用在業務流程、服務和系統中,從而更有效率地保護組織資產。就像應用程式控管利用白名單機制,除了被核准過的以外,阻擋其他非信任應用程式。在可能入侵發生之前就可以有效阻止。FAC 則進一步確保檔案存取的安全,避免未經授權的變更或破壞。Zero Trust Device 與 Zero Trust Network Access 則形成了小型區段間隔,能夠最大程度地減少損害。藉由只允許信任連線並拒絕其餘所有連線,來防止攻擊者在伺服器到伺服器的橫向擴散。
本文轉載自精品科技。