所有人的零信任：實用指南

雖然「零信任架構」很流行，但是它的實際內涵卻常讓人混淆。到底零信任是一種概念？一套標準？一個框架？還是一套技術平台？其實最好的解釋應該是企業對於資安防禦的一種全新「思維」，無論規模大小都應該具備，尤其是有採用雲端架構者。
 
零信任本質上是一種安全典範，用來確保要存取企業組織資源者確實是本人或者該設備。要做到確實辨識本人或設備，需要每個操作階段的明確許可與授權，並持續監視是否有可疑的跡象。這樣的動作已超越基本的身份驗證和存取管理，因為無論登入的網路位址（即使是內網）、方法、身份，零信任都對登入的人或設備視為「威脅」。
 
也因為如此，在分散式的雲端安全架構下，零信任顯得特別有意義。畢竟雲端與生俱來的特質是便利而不是安全，安全的雲端必須被企業精心設計過，這也就是為什麼組態錯誤常見於雲端安全問題中。零信任原則對雲端安全至關重要，特別是面臨來自四面八方的應用服務存取。
 
零信任從嚴密的身分驗證開始，並且在存取過程中，不斷檢查已被識別的人員或設備是否有明確的權限。
 
零信任已經被證明是有效的。微軟最新的零信任採用報告顯示，採用零信任的企業組織僅有31%受到SolarWinds攻擊影響。未採用零信任的企業組織則高達75%被影響。

雲端的零信任是什麼

雲端的零信任防禦可能有幾個獨特的元素。例如：非公開的資源只能透由特定控制後才能存取。特定控制指的是嚴密的身分認證確定存取者是本人，並且只能存取該員被允許存取的項目。此外，在過程中持續驗證存取權限，並持續監控，以發現可能入侵或攻擊的企圖。
 
為了實現雲端的零信任，一些較機敏的應用程序必須限制存取的管道，比如說雲端資安代理（Cloud Access Security Broker, CASB)、限定人士才能存取。因此，多因子身分識別在雲端安全中越來越常見。
 
此外，如前述，基於零信任的雲端安全架構會對存取行為持續監控，任何在雲端的可疑行為會立即被告警並導致使用者會設備被斷線，以阻止可能的破壞。
 
需要注意的是，零信任是一種演化，而不是革命。零信任的理念早在２０年前就出現，當時Jericho Forum反對以「邊界」作為資安防禦的基本概念，並提出網路存取控制(NAC)要求所有連線到網路的設備必須通過檢查才能允許存取。特權存取前必須通過嚴密的身份驗證程序。
 
總而言之，零信任將將所有驗證的概念整合到一個全面的架構框架中，而不是一組單獨解決一個特定漏洞的單點產品。

真實世界場景

這也就是為什麼，勒索軟體攻擊集團會經常利用初始存取掮客(Initial Access Brokers)購買存取帳號，以縮短攻擊路徑。
 
一般來說，零信任有兩個目標：減少攻擊面並提高可視性。
 
就可視性而言，零信任應該可以提高攻擊門檻。如果企業組織知道被偷走的身份帳號，對應的應用程序、雲端工作負載、資料來源和容器狀態，攻擊者應該很難進行攻擊。
 
此外，了解那些弱點尚未修補、未受信任的橫向移動、並持續監控存取行為將限縮攻擊面。尤其，如果攻擊者利用零日或未修補的漏洞進行攻擊，採用零信任將可以把攻擊者限縮在一定範圍內。因為第一，任何異常的行為都會產生告警，而這些告警將限制個人或被允許的網路行為。另外，攻擊者一定會對資料進行加密或外洩，這些行為都需要提升權限。而超過預期的提權嘗試可導致存取拒絕或出現更高階的允許要求。這些都會被標記告警或隔離。
 
遠距工作盛行的時代下，另一個常見的情況是「影子IT (shadow IT)工具」，從家用網路使用未被授權的雲端服務或應用程序，如影片播放軟體或檔案共享服務。
 
零信任架構下，IT人員可以透過端點的代理程式(agent)理解身份或設備狀態。透過API 或 CASB，IT人員可進一步了解雲端的應用服務是否被授權使用，以及是否允許正在嘗試存取其服務的人員或設備。這就是佈建零信任網路存取(ZTNA)的優點。
 
ZTNA可以協助IT人員持續評估信任和狀態。當風險超出預期，可以立即切斷連接並阻止存取。IT人員可以不間斷評估威脅等級及企業組織的資產狀態，包含身分與設備。

實施零信任的注意事項

了解零信任的思維和目標後，從實際執行的角度看，零信任還有許多不同的層次以及因地制宜的部分。這也就是為什麼零信任應該被視為長期的專案，而不是短期佈署。
 
對於資源較少的中小型企業，零信任聽起來很麻煩。專家強調，實際上，無論公司規模如何，都有很多選擇可以佈署零信任架構。專家建議從小規模開始，比如說多因素身份驗證、用 ZTNA 替換 VPN 或引入進階身份管理。並且設定優先順序，那些資源優先被保護，要優先被保護的資源可以允許那些人存取等。
 
雲端時代下，Secure Access Service Edge (SASE)技術是不錯的選擇，因為它整合了好幾個零信任的要素，並且在同一個管理介面中提供CASB、ZTNA以及安全網路閘道器功能。
 
零信任已經被討論10幾年了，現在企業組織都需要認真看待它。隨著攻擊不斷升級，員工、應用程序和設備遍布世界的每個角落，零信任已經不再是選項，而是要項。
 
本文轉載翻譯自 threatpost.com。