https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/
https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/

觀點

所有人的零信任:實用指南

2022 / 04 / 25
編輯部
所有人的零信任:實用指南
雖然「零信任架構」很流行,但是它的實際內涵卻常讓人混淆。到底零信任是一種概念?一套標準?一個框架?還是一套技術平台?其實最好的解釋應該是企業對於資安防禦的一種全新「思維」,無論規模大小都應該具備,尤其是有採用雲端架構者。
 
零信任本質上是一種安全典範,用來確保要存取企業組織資源者確實是本人或者該設備。要做到確實辨識本人或設備,需要每個操作階段的明確許可與授權,並持續監視是否有可疑的跡象。這樣的動作已超越基本的身份驗證和存取管理,因為無論登入的網路位址(即使是內網)、方法、身份,零信任都對登入的人或設備視為「威脅」。
 
也因為如此,在分散式的雲端安全架構下,零信任顯得特別有意義。畢竟雲端與生俱來的特質是便利而不是安全,安全的雲端必須被企業精心設計過,這也就是為什麼組態錯誤常見於雲端安全問題中。零信任原則對雲端安全至關重要,特別是面臨來自四面八方的應用服務存取。
 
零信任從嚴密的身分驗證開始,並且在存取過程中,不斷檢查已被識別的人員或設備是否有明確的權限。
 
零信任已經被證明是有效的。微軟最新的零信任採用報告顯示,採用零信任的企業組織僅有31%受到SolarWinds攻擊影響。未採用零信任的企業組織則高達75%被影響。

雲端的零信任是什麼

雲端的零信任防禦可能有幾個獨特的元素。例如:非公開的資源只能透由特定控制後才能存取。特定控制指的是嚴密的身分認證確定存取者是本人,並且只能存取該員被允許存取的項目。此外,在過程中持續驗證存取權限,並持續監控,以發現可能入侵或攻擊的企圖。
 
為了實現雲端的零信任,一些較機敏的應用程序必須限制存取的管道,比如說雲端資安代理(Cloud Access Security Broker, CASB)、限定人士才能存取。因此,多因子身分識別在雲端安全中越來越常見。
 
此外,如前述,基於零信任的雲端安全架構會對存取行為持續監控,任何在雲端的可疑行為會立即被告警並導致使用者會設備被斷線,以阻止可能的破壞。
 
需要注意的是,零信任是一種演化,而不是革命。零信任的理念早在20年前就出現,當時Jericho Forum反對以「邊界」作為資安防禦的基本概念,並提出網路存取控制(NAC)要求所有連線到網路的設備必須通過檢查才能允許存取。特權存取前必須通過嚴密的身份驗證程序。
 
總而言之,零信任將將所有驗證的概念整合到一個全面的架構框架中,而不是一組單獨解決一個特定漏洞的單點產品。

真實世界場景

這也就是為什麼,勒索軟體攻擊集團會經常利用初始存取掮客(Initial Access Brokers)購買存取帳號,以縮短攻擊路徑。
 
一般來說,零信任有兩個目標:減少攻擊面並提高可視性。
 
就可視性而言,零信任應該可以提高攻擊門檻。如果企業組織知道被偷走的身份帳號,對應的應用程序、雲端工作負載、資料來源和容器狀態,攻擊者應該很難進行攻擊。
 
此外,了解那些弱點尚未修補、未受信任的橫向移動、並持續監控存取行為將限縮攻擊面。尤其,如果攻擊者利用零日或未修補的漏洞進行攻擊,採用零信任將可以把攻擊者限縮在一定範圍內。因為第一,任何異常的行為都會產生告警,而這些告警將限制個人或被允許的網路行為。另外,攻擊者一定會對資料進行加密或外洩,這些行為都需要提升權限。而超過預期的提權嘗試可導致存取拒絕或出現更高階的允許要求。這些都會被標記告警或隔離。
 
遠距工作盛行的時代下,另一個常見的情況是「影子IT (shadow IT)工具」,從家用網路使用未被授權的雲端服務或應用程序,如影片播放軟體或檔案共享服務。
 
零信任架構下,IT人員可以透過端點的代理程式(agent)理解身份或設備狀態。透過API 或 CASB,IT人員可進一步了解雲端的應用服務是否被授權使用,以及是否允許正在嘗試存取其服務的人員或設備。這就是佈建零信任網路存取(ZTNA)的優點。
 
ZTNA可以協助IT人員持續評估信任和狀態。當風險超出預期,可以立即切斷連接並阻止存取。IT人員可以不間斷評估威脅等級及企業組織的資產狀態,包含身分與設備。

實施零信任的注意事項

了解零信任的思維和目標後,從實際執行的角度看,零信任還有許多不同的層次以及因地制宜的部分。這也就是為什麼零信任應該被視為長期的專案,而不是短期佈署。
 
對於資源較少的中小型企業,零信任聽起來很麻煩。專家強調,實際上,無論公司規模如何,都有很多選擇可以佈署零信任架構。專家建議從小規模開始,比如說多因素身份驗證、用 ZTNA 替換 VPN 或引入進階身份管理。並且設定優先順序,那些資源優先被保護,要優先被保護的資源可以允許那些人存取等。
 
雲端時代下,Secure Access Service Edge (SASE)技術是不錯的選擇,因為它整合了好幾個零信任的要素,並且在同一個管理介面中提供CASB、ZTNA以及安全網路閘道器功能。
 
零信任已經被討論10幾年了,現在企業組織都需要認真看待它。隨著攻擊不斷升級,員工、應用程序和設備遍布世界的每個角落,零信任已經不再是選項,而是要項
 
本文轉載翻譯自 threatpost.com。