零信任 (Zero Trust) 資安
2017 年,全球爆發了一場大規模的勒索軟體攻擊,名為 WannaCry。這個勒索軟體利用 NSA (美國國家安全局) 洩漏的漏洞,迅速感染了全球數十萬台電腦,導致企業、醫療機構、甚至政府機構的資料遭到勒索。
2018 年 8 月 3 日,台積電受到電腦病毒感染,影響台灣廠區部分電腦系統及廠房機台,致相關晶圓生產亦受波及,同年第3季認列電腦病毒感染相關損失 2,596,046 仟元。
許多公司是存在資訊安全的意識,因此會將網路架構區隔為內網與外網。傳統的資安模型假設內部網路是受信任的,這就像是一座堅固的城牆保護著我們的資料。然而,上述兩個著名的資安事件揭露了傳統資安模型的弱點,即使在內部網路也可能受到攻擊。
再加上,Covid-19 加速各種新型態工作模式,例如:使用個人自備裝置 (BYOD)、遠距上班;以及企業使用網路與各種數位工具在線上/線下業務活動、數位轉型的過程中導入了各種 X 即服務型態 (as-a-service) 的解決方案,為駭客製造了更多機會。當駭客取得了某位使用者的登入資訊時,他們就獲准在網路內部四處遊走,並且一邊散播勒索病毒、一邊取得更高的系統權限。
那麼,該如何打造一個安全的資訊系統環境呢?
2010 年 Forrester Research 公司副總裁兼首席分析師 John Kindervag 體認到既有的安全性模式皆建立在「企業網路中的所有內容都可供信任」的過時假設上,因而提出零信任 (Zero Trust) 的概念。2019 年 Gartner 公司將零信任列為安全存取服務邊緣解決方案的核心要素之一 (參考自:Market Guide for Zero Trust Network Access)。
零信任是一種基於「不信任任何實體」的資安模型,它的核心概念是不信任任何在網路內或外的實體,包括內部用戶、外部用戶、應用程式、伺服器等,而需要在每一個訪問和活動中都進行驗證和授權。
零信任網路資安策略看待網路的方式與傳統的資安模型截然不同,傳統的資安模型認為網路在被發現遭到入侵之前是安全的,因此假設內部網路是受信任的;而零信任資安則打破了這種信任假設,認為內部網路同樣可能受到威脅和攻擊。因此,零信任資安要求在每個資源訪問上進行驗證,不僅僅是在進入網路的邊界。
零信任資安包含了五個原則:
原則一:驗證 (Verify)
對每個用戶、裝置和系統的身份進行驗證,而不僅僅是在進入網路時。例如:
- 網路銀行要求閒置超過五分鐘就得重新進行身分驗證。
原則二:最小權限原則 (Least Privilege)
給予每個實體僅足夠執行其工作所需的權限,而不是給予過多的權限。例如:
- 財務單位不能存取人資系統
- 每位人資負責的業務範圍不同,不能授予所有人資相同資料存取權限
- 開發與運維人資系統的 IT 人員,不能存取系統資料
原則三:多因素驗證 (Multi-Factor Authentication)
使用多種身份驗證方法,如密碼、生物辨識、智慧卡等,以提高安全性。較常見的有:
- 以 Google 帳號登入時,需開啟 YouTube 確保是否為本人
- 在外部網路登入公司的 Google 或微軟 AD 帳號時,需開啟 Authenticator 輸入或取得驗證碼
- 登入某些網站時,需輸入手機或 E-mail 所收到的驗證碼
原則四:監控和檢測 (Continuous Monitoring and Detection)
不斷監控網路和系統,及時發現和應對可能的威脅。常見的有:
- 透過使用者行為分析,判斷出可能的異常行為 (例如:登入時間非歷史常見時段、不認得登入裝置),並發出警報
- 有些系統甚至只要登入,就會發出通知信件
原則五:策略強制執行 (Policy Enforcement)
系統需要能夠強制執行安全策略,並在違規時立即做出反應。
任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。
零信任資安徹底顛覆了舊的典範,以個別的資源、使用者和資產本身為主體,在存取企業的每項資源之前,都必須個別通過認證,而不是透過它們的擁有者或所在位置判斷。換句話說,網路資訊安全架構再也不是根據細分的網段或企業網路防火牆來維護安全;信任與否,不再依據連線或資產是否為企業擁有來判斷、也不再以網域來判斷。
雖然零信任機制提高了系統安全等級、減少企業與個人受到惡意攻擊與資安風險,不過轉型為零信任機制,得突破幾個轉型過程的棘手挑戰,因此通常需要花費數年的時間。
- 企業需要擬定一致性的策略,並分階段淘汰傳統安全性解決方案,確保轉型過程中不至於因為新舊策略的落差導致系統中斷。
- 零信任的核心精神是在多數工作流程中增加額外的安全驗證步驟,因此可能影響生產力。企業必須在輔助工作與取得強大的安全防護機制之間,找出理想的策略平衡,避免一線人員為了規避過於複雜的程序而產生更大的漏洞。
- 零信任機制可以透過最低權限的存取權減少內部威脅,但它不是萬靈丹。因此,仍需搭配其他資安策略 (如:社交工程演練,提高企業員工對於網路釣魚等駭客攻擊的防備意識)。
硬知識
2023 年,Gartner 整理出零信任網路相關的 19 個不同技術類別,包括 Universal ZTNA、Hybrid mesh firewall platform、Digital experience monitoring (DEM)、Secure access service edge (SASE)、ZTNA 與 Microsegmentation。
- Universal ZTNA 強調建立跟隨使用者的零信任網路訪問政策,不論其登入位置。
- Hybrid mesh firewall platform 聚焦於在混合環境中統一管理防火牆,包括本地和雲端的安全政策。
- Digital experience monitoring (DEM) 被擺在 Hype Cycle 的 Trough of Disillusionment,主要是由於供應商對其承諾過高而未能兌現。 DEM的主要目的是監控用戶與任何應用的互動,強調應該尋找能提供對用戶數位體驗可見性的供應商。
- Secure access service edge (SASE) 也是在 Hype Cycle的Trough of Disillusionment,主要原因是市場上缺乏全面的 SASE 解決方案。SASE提供支援用戶安全訪問的網絡和安全技術,包括 SD-WAN、secure web gateway (SWG)、firewall-as-a-service (FWaaS)、ZTNA 與 Cloud access security broker (CASB )。
- ZTNA 與 Microsegmentation 則都被列在 Hype Cycle 的 Slope of Enlightenment。Gartner 預測這兩者對組織都有中等至高的利益,其中 ZTNA 主要強調提供組織私有應用的最小特權訪問,而 Microsegmentation 則強調在數據中心或雲環境中劃分安全區域,提供對應用程序和工作負載更細粒度的控制。
資訊來源:Fortinet and the Gartner® Hype Cycle™ for Zero Trust Networking
