「零信任」(Zero Trust) 並非新的概念,它早已存在十年以上,最早是由 Forrester 在 2010 年率先提出。自此之後,零信任便被視為一種完美的網路資安方法。然而 DevOps 講究的是靈活性和速度,那麼要怎樣實施零信任方法才不會影響開發時程?
如果實施得當,零信任方法有助於讓資安在不影響開發時程與品質的情況下與 DevOps 流程整合,使應用程式能夠達到法規遵循的要求。這套網路資安方法的卓越性,從美國拜登政府簽署行政命令要求所有聯邦機構採用零信任資安方法即可見一斑。
資安界近來因 Log4Shell 漏洞攻擊事件而體會到採用零信任資安方法的重要,這類攻擊突顯出當企業資產不受控管、或不必要地暴露在外時所衍生的風險,因為駭客的攻擊絕大多數都是經由已通過認證的管道。本文探討零信任對於開發安全的應用程式有多重要,以及如何實施這套方法才不會影響開發者的作業流程。
何謂零信任?
零信任 (Zero Trust) 是一種建立在「持續驗證」這個概念上的網路資安模型,並且視「信任」為一項弱點,必須徹底拋棄那些原本被默許的信任。傳統的資安觀念是「原則上信任,必要時才加以驗證」,並依照群組來指派信任。反觀零信任方法則是「先執行驗證,通過後才加以信任」,而且每個使用者、裝置、應用程式等等都必須通過個別驗證之後,才能獲得一次性存取權限。這套模型最根本的不同在於每次的連線請求、以及每當風險等級有所改變時,都要再重新評估是否值得信任。導入零信任資安的成效是可以降低駭客入侵的成功率,並且限縮駭客入侵的範圍。
零信任的五大支撐元素
零信任資安方法可細分成五大支撐元素:裝置信任、使用者信任、傳輸/連線階段信任、應用程式信任,以及資料信任。為了有效率地協調所有元素的個別防護,企業應考慮採用一套能掌握整體 IT 基礎架構可視性同時又提供自動化工具、客製化 API,並與各種第三方工具整合的網路資安平台。
- 裝置信任
企業使用者用來存取內部資源的裝置或端點不僅數量越來越多,同時也日趨多樣。此外,一些新興的工作潮流,如:個人自備裝置 (BYOD) 與遠距上班,也進一步帶來了複雜性。企業很重要的一點是要能因應、管理及控管這所有的裝置,並判斷它們是否值得信任。提升裝置資安的最佳方法就是利用延伸式偵測及回應 (XDR) 功能來更有效偵測端點上的惡意活動,因為 XDR 可交叉關聯整個企業環境的活動,因此更容易發現威脅,進而改善整體環境的零信任狀態。
- 使用者信任
根據研究,有 57% 的企業曾因 DevOps 流程的登入憑證外流而導致資安事件發生,因此有效認證使用者的登入憑證,對於防範駭客至關重要。歷史證明,要做好使用者認證,光靠密碼是不夠的,所以才會出現各種更安全性的使用者認證方法,如:無密碼認證、多重認證 (MFA)、條件式存取政策、動態風險評分等等。
無密碼認證一般是採用生物特徵及數位憑證。使用者的行動裝置可用來認證使用者的生物特徵 (指紋、臉部辨識等等),透過使用者手邊的裝置來授予安全存取權限,將行動裝置變成一種數位憑證。
MFA 是一種不單只靠使用者名稱和密碼的存取控管方式,並且是AWS 推薦的簡易最佳實務原則,它利用虛擬式 MFA 來提供一道額外認證,例如在授予存取權限之前,先發送認證碼至使用者的手機。
條件式存取是依照「若….,則….」的邏輯規則來決定是否給予權限,例如:若使用者從高風險地區登入,則拒絕存取。
風險評分是根據登入時的狀況來指派風險值/風險等級。例如,未受管理的裝置,或是以極高速度遷移的裝置 (在短短一小時之內分別在地球的一端和另一端登入),都應被列為較高風險等級。
- 傳輸/連現階段信任
最低授權原則對於零信任資安能否發揮成效至關重要。使用者、裝置及應用程式都應只能存取當前工作所必要的系統,其餘一概不能允許。要落實零信任方法的最低授權原則,須做好三項工作:細微分割、傳輸加密、連線階段防護。
細微分割是將通訊途徑做細部的分段、切割及管制,只允許經過授權的連線,限縮駭客入侵之後的活動範圍。
傳輸加密一般是藉由 TLS 通訊協定來達成,此協定會將不同網路之間傳輸的敏感資訊加密。如此可確保駭客無法看到通訊內容,即使內容遭到駭客擷取,也無法馬上被判讀。
連線階段防護用來確保應用程式在每次不同連線階段期間的安全性,同時也確保瀏覽器流量未被挾持,不讓網路上其他未獲授權的使用者可以存取應用程式。一種常見的作法是強制應用程式使用 HTTPS 加密連線。
您所挑選的網路資安平台應該要能持續不斷掃描您的雲端基礎架構與服務的組態設定,以確保它們永遠使用 HTTPS 連線。
- 應用程式信任
在遠距上班或混合上班情境中,使用者必須能夠從任何裝置、任何地點、安全而輕鬆地存取任何應用程式。所幸,現代化應用程式在設計上都能支援零信任方法,並整合了單一簽入 (SSO) 功能。
不過,傳統的應用程式則有必要在安全上進行升級才能與公共網際網路隔離,這可利用一套網路資安平台在應用程式與網際網路之間架設零信任網路存取 (ZTNA) 仲介軟體作為一道身分屏障。此平台還可以將隔離做得更加徹底 (並且簡化流程),讓資安團隊將不同的雲端工作負載分門別類,然後對不同類型的身分自動套用不同資安政策。
- 資料信任
確保資料的一致性,是網路資安的基本目標之一,目的在於防止資料遭到竊取、外洩或篡改。資料外洩防護 (DLP) 是避免重要或機敏資料遭到竊取或破壞的一種常用方案。然而市面上的 DLP 產品眾多,企業若透過網路資安平台來部署 DLP,可有助於整合整個環境,讓資料防護發揮最大效益,讓可視性延伸至整體企業以發掘企業內的所有機敏資料,同時還能協調各項措施,避免資安事件發生。
當企業在將零信任整合至資安措施當中時,應致力提升資料信任方法,例如改善資料的分類與一致性。如此才能確保資料分類的正確性,包括資料的機密性與一致性等級,並建置必要的資安措施。
DevOps 與零信任
由於工作性質使然,DevOps 團隊必須經常存取工作流程和工具流程當中的各類系統與服務。隨著駭客針對開發流程及服務的攻擊不斷升級,存取認證對於防範駭客攻擊變得非常重要。
持續不斷掌握所有裝置及使用者與應用程式的連線,是有效判斷是否該信任或攔截網路活動的重要依據,而這需要來自持續監視整個自動化環境的可視性/數據分析層所提供的情境訊息,以便判斷前述五大元素的可信任度,進而做出資安判斷。
善用零信任方法能妥善保護進入企業的鑰匙,採用全方位網路資安平台來落實這套方法,可盡量降低對快速開發流程的干擾。
下一步
零信任 (Zero Trust) 資安模型包含了五大支撐元素:裝置、使用者、傳輸/連線階段、應用程式,以及資料,這些全都必須先確認過安全之後才能加以信任。為了讓零信任方法能確實涵蓋不斷擴大的受攻擊面,企業應採取一套能完整保護這五大元素的網路資安平台來與開發中的應用程式及 CI/CD 流程整合,讓零信任成為 DevOps 流程本身的核心。
然而並非所有的網路資安平台具備同樣能力,以下是您在挑選廠商時所應考量的一些主要功能:
- 零信任網路存取 (ZTNA) 工具:在開發者與 DevOps 流程每次連線階段使用的 SaaS 應用程式之間建立起安全連線。
- 安全存取服務邊緣 (SASE) 解決方案:將 ZTNA 功能進一步延伸,經由一套從雲端供應的資安防護來確認整體環境所有連線的一致性。這套解決方案須持續評估外部及內部應用程式的連線風險,以及分支辦公室彼此之間的通訊,確保所有流量都值得信任,萬一發現不值得信任,也可採取各種對應的動作,包括切斷連線。如此,開發人員就能安全地工作並輕鬆連上所需的資源,不論資源位於何處。
本文轉載自趨勢科技部落格。