資訊保安烏托邦由「零信任」架構開始
一直以來,人與人,國與國之間的平穩和安全關係都是建立於「信任」這個重要的基石上,然而近年在網絡保安界裡卻有人大唱反調,認為只有「零信任」才能確保大家的安全。
「零信任」是什麼來的?
「零信任」架構是由網絡保安分析員John Kindervag 於2009年在Forrester Research工作時引入的概念。 簡單而言,「零信任」的大原則是「永不信任,驗證為上」,它否定傳統企業認為防火牆內保護的網絡是安全的,並認為外部網絡接入企業內部網絡是需要規管及認證的。這概念後來更獲美國國家標準技術研究所(NIST )採納,制定成為SP 800-207「零信任」架構標準[1],於2020年推出。該標準共有7點,包括 :
- 所有數據和系統服務均被視為資源
私人裝置如能存取企業資源,都應同樣地歸類為資源。而所有”資源 ”都必須受到控制和保護。
- 無論於任何地方存取企業的內部網絡,都必需確保通訊安全
即使是來自企業內部的網絡取存,所需的保安要求都要與來自外部的網絡存取相同。
- 取存任何一個企業資源都需先得到授權
擁有某一資源的授權只代表僅可存取該資源。如要存取其他資源,需要額外的授權。
- 用動態策略來判定取存企業資源的權限
用戶身處的環境或使用的設備狀態都會影響取存企業資源的權限。規則可基於業務流程需求及業務可接受的風險級別。例如,用戶身處不同國家或地區,應授權用戶可取存不一樣的企業資源。
- 企業必需確保及持續監測所有相關設備都維持在最安全的狀態
所有設備都應處於最安全的狀態,如果設備被發現有已知的漏洞,或企業未能管理設備,則會影響授權結果,例如企業可以拒絕不安全的設備存取企業資源。
- 取存企業資源前,必需通過動態驗證資源身份和授權
持續驗證用戶身份和授權,並監測及持續評估網絡通訊(包括設備、帳戶、網絡等)。
- 收集有關的網絡設施和通訊的狀態,並加以分析作網絡保安上的改善
企業應收集有關網絡流量和存取請求的數據,然後用於改善規則及制定策略
使用「零信任」架構有什麼好處?
「零信任」假設所有存取要求都是可疑並拒絕連接,只有通過保安檢測才放行。不論該存取要求是來自企業內部或外部,都必須經過身份驗證後才授權和加密。
零信任原則是“常驗證,並只授予最小權限”。企業在實體安全上都有實行到類似「零信任」概念,比如說每次進入房間都需要利用門卡去證明員工的存取權,甚至加上指紋認證是員工本人才可進入房間,而門卡限制員工活動範圍,更可在所需位置加上監視器確保安全。而此概念在發生事故上有助於降低內部威脅和影響範圍。在傳統網絡安全上,我們會假定所有員工用到企業網絡就是可信任的,就等於現實中所有員工可以進入企業所有房間。因此零信任概念盛行正正是為了對應日益嚴重的網絡攻擊。
微分段為何在「零信任」中十分重要?
正如上述所提到,「零信任」否定傳統企業內部信任網絡,並假設只能由已驗證的身份及網絡訪問企業數據。 而微分段就是零信任架構的骨幹,它幫助企業遇到資訊保安事故時減低攻擊面和影響範圍,是一種常用於數據中心及雲端環境中創建網絡區域的方法,用作隔離及保護每一組獨立的工作負載。透過微分段,系統管理員可以基於零信任架構創建策略及限制工作負載之間的網絡流量。企業使用微分段能有效減少網絡攻擊範圍,改善保安事故的控制,並加強法規遵從性。
傳統網絡設計上只分為三個區域,內部網絡、外部網絡,以及放置要暴露於互聯網的伺服器的子網絡DMZ (Demilitarised Zone)。員工從內部網絡進入內部系統會被認為是符合保安要求的,繼而得到較寬鬆的限制,但其實很多網絡保安事故都是由黑客控制員工電腦後,再進行橫向攻擊的。
至於微分段網絡設計,它會利用到最少權限原則,例如網絡設計上會細分為不同部門及功能所需,部門一的員工只能存取所屬部門的系統,而部門二的員工是不能存取部門一的系統的,而每個部門的網絡必需有防火牆保護。微分段網絡設計有效地縮小攻擊規模及受影響時的範圍。
圖1 – 傳統網絡設計[2]
圖2 – 微分段網絡設計[3]
如何實行「零信任」架構?
我們建議企業可參考NIST的標準並分三階段進行:
- 將傳統網絡轉為微分段網絡
- 對需要由外部網絡存取內部系統的員工實施「零信任」架構
- 對內部網絡實施「零信任」架構
有關實施「零信任」所需的技術或工具,企業可以參考以下內容:
目標 | 工具與技術 | |
帳戶 | 持續驗證、實時分析 |
|
設備 | 不斷驗證及監控設備安全、數據存取權取決於實時風險分析 |
|
網絡 | 微分段、威脅防護、加密 |
|
應用程序 工作負載 | 安全工具整合於系統發展生命周期 |
|
數據 | 數據必須加密並可監控 |
|
表1 – 實行「零信任」的技術或工具[4]
企業需要先按不同業務所需,再制定相應的保安政策。在考慮使用任何技術或工具前,都應了解有否保安風險及風險被利用的後果。就算制定好了一套「零信任」架構,都必需定期覆核及檢測,從而達至降低網絡威脅和數據洩露的風險和影響。
參考連結:
[1]https://csrc.nist.gov/publications/detail/sp/800-207/final
[2]https://www.techtarget.com/searchnetworking/definition/microsegmentation
[3]https://www.techtarget.com/searchsecurity/definition/DMZ
[4]https://www.cisa.gov/publication/zero-trust-maturity-model
分享至