如何導入零信任:五大步驟與部署檢查清單
什麼是零信任導入?
零信任安全模型能協助企業提升資料與 IT 資源的安全性,同時強化對整體生態系統的可見度。零信任的導入通常包含至少五個步驟,其中包括在網路中加入微區隔、啟用多重驗證,以及驗證終端裝置的安全性。
我們將說明這些導入步驟,並提供選擇零信任技術解決方案時的重要考量。最後,我們也會介紹多數組織在導入零信任時常見的挑戰,以及克服這些挑戰的方法。
這是我們關於零信任網路存取(ZTNA)系列文章的一部分。
五步驟導入零信任
以下是幾項有助於在您的組織中導入零信任的原則與技術:
1.部署 SASE
SASE(安全存取服務邊緣)可將 SD-WAN 與各種網路安全單點解決方案整合為集中式的雲端原生服務。您可以將 SASE 納入零信任策略的一部分來進行部署。在評估 SASE 解決方案時,您可以考量以下幾個面向:
- 整合性──理想情況下,您選擇的 SASE 解決方案應能無縫整合至您現有的網路架構中。例如,營運關鍵基礎設施於本地端的組織,應選擇提供零信任元件的 SASE 解決方案,以便能安全地連接至雲端資源與傳統基礎架構。
- 功能──您的 SASE 解決方案應具備可阻擋潛在威脅並限制入侵所造成損害的能力。例如,該解決方案應能協助您實作微區隔、修補管理、沙箱隔離,並整合身分與存取管理功能。
- 遏止能力──沒有任何機制能真正保證完全不會發生入侵事件。理想情況下,您選擇的 SASE 解決方案應能協助您確保任何已突破網路防線的威脅都能被有效遏止,以降低整體影響。
SASE 將以下技術整合為一套受管理的服務,因此能大幅簡化其導入流程。
2.活用微區隔技術
微區隔是將安全邊界劃分為更小的區域。它有助於針對網路中的特定區域設定獨立的存取權限。這種分隔方式可讓您允許特定用戶、應用程式或服務存取相關區域,同時限制其對其他區域的存取權限。
3.使用多重驗證(MFA)
MFA 要求用戶輸入兩種或以上的驗證因素,包括:
- 知識型因素──僅有用戶本人知道的資訊,例如圖形解鎖、密碼或 PIN 碼。
- 持有型因素──僅有用戶本人擁有的資訊或物品,例如智慧卡、手機或提款卡。
- 生物特徵因素──根據用戶的生物特徵進行驗證,例如視網膜掃描、臉部辨識或指紋辨識。
系統僅在所有驗證因素皆通過時才會完成身分驗證。
4.實施最小權限原則(PoLP)
PoLP 是指將用戶的存取權限限制在執行其工作所需的最低範圍內。例如,您可以僅授予用戶執行、讀取或寫入特定資源與檔案所需的最低權限。
您也可以將最小權限原則應用於非人類資源,例如系統、應用程式、裝置與流程的存取權限限制。您可以僅授予這些資源執行其授權活動所需的最低權限,以實現此目標。
5.驗證所有終端裝置
切勿信任尚未經過驗證的裝置。零信任安全機制可協助您驗證終端裝置,並將以身分為核心的控制機制延伸至終端層級。這通常包括確保裝置在取得資源存取權限前,已完成註冊程序。註冊裝置可讓您更容易識別並驗證每一台裝置的身分。透過導入裝置驗證,您可以判斷嘗試存取資源的終端裝置是否符合您的安全要求。
零信任部署清单
在導入零信任解決方案時,您可以考量以下幾個面向:
| 部署便利性 | 您是否能快速完成系統的部署與啟用?
廠商是否要求您調整現有環境以配合其解決方案?例如,您是否需要在防火牆中開啟特定通訊埠? |
| 多重雲端支援 | 解決方案是否能輕鬆整合多家公有雲服務供應商?
解決方案是否能有效保護您在多個雲端環境中的工作負載? |
| 可擴展性 | 這套零信任架構是否具備良好的擴展能力?
所提供的擴展性是否能滿足您工作負載的需求? |
| 安全性 | 解決方案提供者實施了哪些安全措施?
解決方案是否能維持簡化且高效的安全作業流程? 解決方案是否部署了入侵防禦系統(IPS),並能對所有流量進行惡意程式掃描? |
| 可見度 | 解決方案是否提供中央化介面,讓管理者能清楚掌握所有用戶對任何資源的即時與歷史存取請求?
能輕鬆存取哪些行為被允許、哪些行為則被阻擋的相關資料,是進行監控與合規稽核的關鍵。 |
| 服務與支援 | 零信任解決方案的廠商是否能協助排解問題? |
| 價值 | 解決方案是否能提供額外價值?
解決方案如何、以及在哪些方面提供超越您現有安全工具的價值、功能與風險降低措施? |
導入零信任的挑戰
當您在組織中導入零信任時,將需面對並克服以下挑戰。
基礎架構複雜性
現代企業的基礎架構通常包含代理伺服器、主機伺服器、商業應用程式、資料庫,以及各類軟體即服務(SaaS)解決方案。部分基礎架構元件可能部署在本地端,其他則位於雲端。
在混合環境下兼顧傳統與新式應用及硬體的同時,確保網路中每個區段的安全是一大挑戰。這樣的複雜性使得組織難以實現全面的零信任落地。
使用多種工具落實零信任運作
為支援零信任模型,企業通常需整合多種工具,包括:
- 零信任網路存取(ZTNA)或軟體定義邊界(SDP)工具
- 安全存取服務邊緣(SASE)或 VPN 解決方案
- 微區隔工具
- 多重驗證(MFA)
- 單一登入(SSO)解決方案
- 裝置核准機制
- 入侵防禦系統(IPS)
然而,這些工具中的許多往往依賴特定作業系統、裝置類型或雲端服務供應商。多數企業並不使用單一規格的裝置與環境。他們可能同時在地端資料中心與一個或多個雲端平台上運行服務,使用者分布於 Windows、Mac,以及其他連網裝置,也可能在多個 Linux 發行版本與不同版本的 Windows Server 上執行伺服器。
在這樣的異質環境中,要確保零信任工具在所有平台上皆能一致運作,對於大型企業而言是一大挑戰。
調整心態
在大型企業中導入零信任模型,需要獲得相關利害關係人的支持,才能確保訓練、規劃與實作的有效推動。零信任專案幾乎會影響所有部門,因此所有領導者與管理者應對推動方式達成共識。企業通常對於變革導入的速度較慢。僅僅是內部政治因素就可能威脅專案的成效。
成本與資源投入
導入零信任需要企業投入時間、人力與財務資源。零信任模型需要明確定義誰能存取網路中的哪些區域,並建立適當的網路區隔──這需要縝密的規劃與跨部門協作。
企業也需聘用或指派專人執行區隔設計,並持續維運。若選擇的零信任系統能與現有環境高度整合,這些工作將變得更加簡單。