零信任安全:原則與架構說明
什麼是零信任安全?
過去,許多組織採用「城堡與護城河」的方式來管理其網路和 IT 資產的存取。在這種模型下,公司會大力防禦網路邊界,並假設所有在內部的人員都是合法且值得信任的。
2010 年,Forrester Research 的 John Kindervag 提出了零信任安全模型,以解決這種存取管理方式的不足。它採用「從不信任,永遠驗證」的理念,針對每一次存取請求都進行基於角色的權限驗證。
零信任安全模型的核心原則
零信任安全模型是一個用來建立更安全身分管理策略的框架。它建立在幾個基本原則之上,包括以下內容:
以身分為核心的安全性
零信任安全以身分為中心。在 IT 環境中,每個實體都會被指派一個身分,而這個身分會在整個組織的 IT 基礎架構中統一使用。
健全的身分管理對於有效的存取控制至關重要。集中且一致的身分管理能降低用戶或裝置意外獲得不該擁有的權限,或在權限應被撤銷後仍保留的風險。
強化驗證機制
如果系統無法驗證某人是否真的是其聲稱的身分,那麼追蹤用戶身分就沒有太大價值。強化驗證對於建構有效的零信任系統至關重要。
在零信任模型中,驗證不僅限於使用者,且驗證方式應比傳統密碼更為安全。零信任系統也可能驗證裝置的身分,並依此決定存取權限。
最小權限存取
零信任安全模型建立在最小權限原則之上。所謂最小權限,指的是用戶、應用程式與裝置僅應被授予其角色所需的最低限度權限。
實施最小權限存取的目的,是在帳號遭攻擊者入侵或被用戶濫用時,能將潛在損害降到最低。若某位用戶僅能存取自己的電腦,且沒有更高的權限,那麼即使帳號遭到入侵,對整個組織的影響也相對有限。
持續驗證
零信任安全模型會針對每一次的存取請求進行個別評估。當用戶請求存取某項資源時,系統會根據其被授予的權限與角色來判斷是否允許。若請求被批准,用戶僅能在該次工作階段中取得所需的最低限度存取權。
就如同最小權限原則一樣,這種逐案授權方式也能有效降低潛在風險。用戶無法存取其未被授權的資源,且攻擊者要在不被發現的情況下接管閒置的工作階段或在網路中橫向移動也變得更加困難。
零信任安全是如何運作的?
零信任安全模型的設計目的是確保每一個存取請求在被允許之前都經過驗證並且是合法的。組織內的每位用戶、每個應用程式和裝置都可以被分配相應的權限,系統會根據這些權限來評估存取請求。
為了確保每次請求都經過驗證,零信任安全架構必須具備攔截並檢查所有請求的能力。為了達成這一點,微分段技術會在每個應用程式或系統周圍建立一個信任邊界。任何請求都必須先通過驗證才能跨越這個邊界,讓組織能夠更細緻地控制對特定資源的存取。
零信任架構
零信任是一套建立在幾個核心原則上的安全框架。零信任架構將這些原則具體實作,並通常包含以下幾項核心要素。
微分段
零信任架構在批准或拒絕每個存取請求前,會先根據政策控制進行評估。為了達成這點,它需要有能力攔截、評估並允許或阻擋前往目標的存取請求。
透過軟體定義網路(SDN),微分段能在組織的 IT 資產周圍建立網路邊界。系統會在這些邊界上評估每個請求,並視情況予以批准或拒絕。
多重驗證(MFA)
零信任架構仰賴能準確識別用戶、裝置或應用程式的能力。一旦識別完成,系統就能根據相對應的存取控制與政策,處理該次請求。
多重驗證(MFA)比密碼或其他單一驗證方式提供更強的用戶驗證保障。透過要求多種驗證因素,MFA 能降低攻擊者入侵並濫用合法帳號進行攻擊的風險。
零信任網路存取(ZTNA)
零信任框架應支援組織的用戶與 IT 系統。這包括內部與外部裝置、遠端工作者以及雲端資源。
零信任網路存取(ZTNA)提供安全的遠端存取,符合零信任原則。用戶僅被授權存取其實際需要的應用程式與系統,而非整個公司網路。
即時監控與強制執行
零信任將安全性與存取管理整合進公司 IT 資源的存取過程中。零信任框架不再預設信任內部人員,而是採用「從不信任,永遠驗證」的原則。
為了實現這一點,系統需要具備即時監控與政策強制執行的能力。穿越微分段所定義邊界的流量應在不明顯影響系統效能或用戶體驗的情況下被檢查與評估。
零信任模型的優點
零信任安全模型的目標是為組織資源導入更細緻的存取控制。這種做法能為組織帶來多項優勢,包括以下幾點:
強化安全態勢
零信任安全架構能加強組織資源的存取控制。每一筆存取請求都會根據最小權限原則被個別評估後,才會允許使用公司資源。
這種身分與存取管理方式能提升組織在基礎架構內偵測並處理網路威脅的能力。即使攻擊者成功入侵系統或取得用戶帳號,他們在網路中橫向移動並達成目的的能力也會受到嚴格限制。
更深入的可見度
零信任安全模型從傳統的「城堡與護城河」防禦模式轉向以微分段為基礎的架構。不再僅在網路邊界評估存取請求,而是針對每一筆存取個別驗證。
因此,組織能更清楚掌握其 IT 環境中的各項活動。這不僅有助於提升安全性,也能依據實際使用行為來最佳化組織的 IT 基礎架構。
提升用戶體驗
零信任模型依據需知原則來授權存取公司資源。每筆請求都會套用最小權限控制,只有不合法的請求才會被阻擋。
因此,允許通過的請求能讓公司網路的流量更加精簡,而用戶也僅能存取其實際需要使用的資源。這能減少公司網路上的壅塞情況,也能降低用戶在嘗試存取未被授權資源時所產生的挫折感。
強化法規遵循能力
大多數公司都必須遵守數項用於保護敏感資料的法規。這些法規可能涵蓋特定類型的資料──例如信用卡資訊、醫療保健資料──或特定地區公民的個人識別資訊(PII)。
這些法規中最常見的要求之一,就是組織必須對受保護的資料進行存取控制。零信任架構能簡化這項作業,因為每一筆資料存取請求都會經由零信任架構進行評估與記錄。
零信任成熟度
根據美國網路安全暨基礎設施安全局(CISA)的定義,零信任架構包含五大要素:身分、裝置、網路、應用與工作負載,以及資料。隨著組織的零信任計畫逐步成熟,他們會針對這些要素個別與整體發展出更進階的流程與解決方案。
隨著組織逐步推進其零信任轉型旅程,CISA 將成熟度劃分為四個主要階段,包括:
- 傳統階段:在這個階段,公司主要依賴人工流程來執行零信任與最小權限原則,並一次僅針對五大核心要素中的其中一項進行實作。
- 初始階段:組織開始自動化身分管理流程,導入跨核心要素的解決方案,並在資源配置後持續更新與調整最小權限的存取控制。
- 進階階段:組織會視情況使用自動化技術來管理跨核心要素的設定與政策,並能針對特定事件進行自動化應對,同時實現集中化的可見度與身分管理,並依據風險評估來調整最小權限控制與政策。
- 最佳化階段:組織達成完全自動化的屬性管理、自我回報機制、最小權限存取控制與持續監控。
零信任使用案例
零信任安全能針對組織的 IT 資產提供極為細緻的控制。這種能力可以用來解決多種業務挑戰,包括以下幾點:
安全的遠端工作
隨著遠端與混合辦公日益普及,也為組織帶來更多資安風險。遠端終端裝置可能無法享有與內部裝置相同的防護,容易遭受惡意程式感染或帳號遭入侵的攻擊。
零信任能有效降低遠端工作者電腦或帳號被入侵所帶來的潛在風險。即使攻擊者入侵組織環境,每一筆存取請求仍須依公司政策進行驗證,進一步提高惡意行為的執行難度。
雲端安全
越來越多公司將資料與應用程式遷移至雲端環境。這樣的轉型雖帶來不少好處,但同時也導入更多資安風險與複雜度。
雲端安全的一大挑戰,在於如何管理雲端環境內部與跨雲端間的存取權限。導入零信任安全政策,能協助組織強化並標準化雲端存取管理規則。
物聯網(IoT)安全
物聯網(IoT)裝置在公司雲端環境中的比例也日益增加。這類裝置包含消費型 IoT 裝置──例如智慧恆溫器或連網攝影機──以及用於控制製造系統的工業級 IoT 裝置。
這些 IoT 裝置通常缺乏足夠的資安防護,可能成為攻擊者進入公司 IT 環境的入口點。零信任安全可協助限制這些裝置的存取行為,並將對組織構成的潛在威脅降至最低。
第三方風險管理
除了自家員工之外,公司經常也會開放第三方人員存取其系統環境。這些第三方可能包含承包商、供應商或 合作夥伴,他們基於業務需求需要存取、管理或監控特定系統。
第三方存取可能導致供應鏈攻擊的風險,也就是攻擊者透過入侵合作夥伴的環境,進而滲透目標組織的方式。透過零信任安全架構,組織可以將第三方的存取權限限制在最低必要範圍內,從而降低供應鏈攻擊的潛在風險與影響。
威脅偵測與回應
網路攻擊者會採用各種手段滲透組織環境,以達成其惡意目標。帳號盜用攻擊──例如透過釣魚或惡意程式取得帳號控制權──是常見的入侵手法。
零信任能降低帳號盜用的風險,並加速網路威脅的識別與回應。由於安全團隊能掌握每一筆公司資源的存取請求,他們在資料外洩或其他資安事件發生前,通常能及早識別並阻止威脅。
法規遵循
法規遵循是許多公司關注且面臨的重大挑戰。當大量資料分散於多個位置時,公司往往難以追蹤並有效管理對敏感資料的存取行為。
零信任能協助組織維持並展現法規遵循能力,這是因為它能提供對公司資源存取請求的可見度。每筆存取請求皆需進行個別驗證,這不僅提供攔截未經授權請求的機會,來自零信任系統的存取記錄也對於法規稽核或資料外洩事件調查具有極高價值。
導入零信任的最佳實踐
導入零信任是一個漸進的過程,而最困難的,往往是如何起步。以下是實施有效零信任架構時不可或缺的幾項最佳實踐。
明確定義業務目標
零信任架構能為組織帶來多項效益。但不同公司導入零信任的動機也各不相同。
因此,在展開零信任導入流程的第一步,就是明確定義業務目標,並爭取內部對零信任部署的支持。高層管理階層的支持與背書,是建構一個全組織性、有效且可持續的零信任計畫所不可或缺的要素。
導入零信任架構
零信任策略的成效取決於其是否有相容的技術支援。如果組織現有的網路與資安解決方案無法支援零信任所需的細緻存取控制,或僅限於特定環境──例如雲端平台──那麼要落實零信任安全政策將會非常困難,甚至根本無法執行。
因此,在導入零信任架構時,務必審慎評估既有解決方案是否具備支援能力,或是否需要汰換。例如,虛擬私人網路(VPN)並不具備零信任所要求的細緻存取控制功能,應以零信任網路存取(ZTNA)或其他類似解決方案取而代之。
定義角色
零信任安全策略是根據最小權限原則來設計的。該原則會限制用戶、應用程式與裝置僅能存取其角色所需的最低資源。
正確定義各項角色,是成功導入零信任架構的關鍵步驟之一。角色設定過於寬鬆會導致不必要的存取權限,而設定過於嚴格則可能影響作業效能,並使身分管理變得更加複雜。角色的範疇應符合特定實體的實際需求,同時避免過度限制。
持續監控與調整
零信任架構能為組織的 IT 環境提供深層的運作可見度。然而,若公司未善用這些資料,這些可見度的價值也將大打折扣。
定期監控存取記錄,有助於組織偵測潛在的資安事件或其他未經授權的系統使用行為。同時,這也能幫助組織發現與修正那些不符合業務目標,或與用戶、裝置、應用角色不相符的存取控制與政策設定。
Cato 與零信任
毫無疑問,零信任是未來存取管理的發展方向。它能協助組織降低資安風險,並更有效地掌控對 IT 資產的存取權限。然而,要在組織多元的 IT 環境中一致地導入並落實零信任策略,仍是一大挑戰。
目前最有效的方式,是將零信任作為安全存取服務邊緣(SASE)部署的一部分來實施。SASE 將 ZTNA 與其他核心網路與安全功能整合為一套融合型的雲端安全解決方案。
Cato Networks 是 SASE 的先驅,提供以一級網路供應支撐的全球 SASE 網路。深入了解 SASE 的 零信任功能。