圖片來源: 

iThome攝影

零信任(Zero Trust)概念是當前相當熱門的資安概念,但眾說紛紜,實務上,企業該參考哪些資訊,以便推動相關工作?美國國家標準暨技術研究院(NIST)在2020年8月,正式發布SP 800-207《Zero Trust Architecture》標準文件,探討如何建立零信任架構(ZTA),而在今年的臺灣資安大會召開期間,不只是在5月5日舉行的零信任論壇有一系列演講,同一天,由美國在台協會商務組促成的US-Taiwan AIT Day活動當中,思科全球資安產品事業部產品經理朱育民也以此為題開講,恰巧也呼應這個由美國主導制定的資安標準架構。

在ZTA架構的借鏡上,思科主要著重在三種方法的概念,分別是:
●增強的身分治理(Enhanced Identity Governance)
●微分段(Micro-Segmentation)
●網路基礎架構與軟體定義邊界(Network Infrastructure and Software Defined Perimeters)

並且在他們本身主推的零信任架構當中,以這些概念對應三大場域的防護,簡稱為3W零信任架構,分別是:

●工作力(Workforce)
●工作負載(Workloads)
●工作場所(Workplace)

在實施方式上,他們也強調,零信任是一個不斷循環下列3個步驟的過程,分別是:

●建立信任(Establish trust)
●執行基於信任的存取(Enforce trust-based access)
●持續驗證(Continuously verify trust)

早在兩年前,思科就已提出他們定義的ZTA架構

整體而言,關於保護場域與不斷進行驗證的作法,思科在2019年就已經提出,當時,他們主要是在Cisco Trusted Access這套解決方案主打,也就是Duo MFA多因素身分驗證系統,然而,時至今日,無論是零信任的概念或架構,所適用的場景已不再只是企業內部的IT網路、資料中心的網路,以及身處其中的個人電腦、伺服器、網路設備,還有各種應用系統、微服務,同時,也涵蓋到工業控制系統所在的OT網路環境、公有雲服務環境,以及無所不在的物聯網環境。

而在2021年的臺灣資安大會上,代表思科公司對此議題發言的朱育民,他表示,面對遠端辦公需求急速增加的態勢,企業與所有的工作者對於網路服務與線上應用程式的依賴度更大,然而,企業也在全球嚴重傳染病不斷擴散的態勢下,加快數位轉型的腳步,導致IT管理的透明度不足、維運複雜度增加,一旦遭到網路或惡意軟體攻擊,受災面比起過去也呈現擴大的局面,相對而言,駭客如今可用更簡單的方式,產生更大規模的威脅,因此,企業必須設法有效提升身分管理、應用系統、網路的安全性,針對所有員工、程式開發人員與IT維運人員,提供安全的遠距存取與多雲存取,同時,也要能做到資安威脅的遏止,以及各種來自網路與IT層面的入侵防禦。

而在3W的定義上,思科在先前主要強調的部份,分別是:

●工作力:員工身分識別與連網設備的存取控管
●工作負載:應用程式的活動監控、分隔與安全偵測
●工作場所:連網設備管理、用戶與設備的網路存取控制、持續資安健康狀態偵測

涵蓋三種層面,思科自己也發展ZTA架構

而思科目前對於這三個場域的認定與防護要求,提出更具體而詳細的區分。

工作力的保護

朱育民表示,在工作力的部分,思科零信任架構保護的對象是「用戶與端點」的存取,包含人員,以及電腦、行動裝置等設備,而且,存取來源可能是任何地點;在應用場景上,這類型防護主要針對的是安全遠距存取(Secure Remote Access),能替存取應用程式和IT資源的用戶及其設備,建立信任,以確保正確的用戶和安全的設備才能存取應用;其驗證是否可信的環節,主要是在人與連網設備對於應用程式的存取,而在NIST SP 800-207的標準上,對應的作法是增強的身分治理。

而在資安功能的部分,思科對於工作力的保護,可涵蓋相當大的範圍,像是:網路釣魚、惡意軟體、帳號與密碼盜取等攻擊行為,以及遠端存取過程與設備本身的安全性。

若要確定是否做好這方面的防護,朱育民認為,我們必須能夠回答下列問題。

●如何確認存取人員身分正確?
●他們存取的是對的應用嗎?
●他們使用的存取設備是否已受信任?
●他們使用的存取設備安全嗎?

關於端點與網路出入口的防護,朱育民提醒企業要注意幾個盲點。首先是我們把90%的力道,都灌輸在安全邊緣(Secure Edge)的投資。如果照這樣的指南去檢查時,我們會發覺,自己把大部分力量都放在前緣的防禦攻擊,比例失衡的狀況很嚴重。

第二是居家辦公與遠端辦公盛行,就算企業網路有如銅牆鐵壁,然而,當員工因為疫情關係,在脫離企業網路的狀態,在自家、咖啡廳透過VPN連到企業內部環境上線工作,是否還能繼續保有免於受到APT攻擊的能力?若接收到未知檔案時,能否辨識是否當中有惡意軟體?若沒有妥善的防護與管理機制,很難確保在這樣的連線環境之下,是否會有駭客或惡意軟體伺機經由這些設備滲透到企業內部。

由於資安是不斷改善的過程,並非只是短期運作,因此即便當下能做好資安,企業也必須持續驗證工作力的資安防護程度,思科提出三大評估重點:

1.確認用戶的身分。我們可以考慮建置多因素認證(MFA),強化帳號與密碼安全,提高被破解的難度與門檻。
2.取得端末設備的資訊,使其透明可視並建立信任。我們可以建置端末設備健康度與狀態管理機制,隨時掌握這些裝置的運作是否出現異常。
3.對每一個應用建立存取政策。在控管各種應用系統的存取方式時,應設法做到基於用戶身分的存取政策。

工作負載的保護

在工作負載的部分,思科零信任架構主要針對的是「應用與服務」的存取,包含應用程式、系統服務、微服務,發動存取活動的來源可能是內部網路、公有雲、混合雲,因此,主要應用場景在於提供安全的多雲存取方式(Secure Multi-Cloud Access)。思科認為,應該根據風險、具有前後脈絡感知能力的策略,以及經過驗證的業務需求,來限制應用程式的存取活動,進而保護應用程式的所有連接。

若要驗證工作負載的保護是否可信,思科零信任針對的環節,主要是在系統之間的溝通;而在NIST SP 800-207的標準上,對應的作法是應用服務之間導入微分割的隔離機制。

而在資安功能的部分,思科對於工作負載的保護,要求需具備多種能力,分別是:完整透視應用程式的活動、全面強制執行政策,以及遏止外洩行為、預防橫向移動(Lateral Movement)。

關於實施工作負載保護的必要性,朱育民表示,在進行各種前緣保護的作業過程當中,如何強化工作負載的安全性是困難的,因為往往會牽涉到不同部門之間的溝通,開發應用程式的人員與管理IT基礎架構的人員,可能分屬不同單位,而思科可協助企業從IT基礎架構層面,來進行應用程式層級的微分段──透過應用程式的分類、IT資產的透明可視,我們可以了解它們定期執行的活動,進而定義出各自平常運作的行為模式,之後,才能建立對應的資安政策,以便預測與預防惡意行為,萬一這些個體出現偏離基準線的行為時,企業也能確認這些是否屬於駭客控制程序所引發的異常活動。

基本上,若企業想要確認自身是否做好工作負載防護,思科也建議企業評估自己能否回答下列問題,以找出可行之道:

●在企業系統中使用哪些應用?
●應用與資料流如何溝通?
●這些溝通是否安全與可信任?

如果企業要持續驗證工作負載已受到保護,實務上,該如何推動?

1.了解哪些應用正在運行,以及包含哪些重要程序。若要達成這個目的,企業必須要能識別工作負載,並執行相關的控管政策。
2.遏止侵入行為並阻止橫移擴散。我們須具備足夠惡意活動的偵測與阻擋能力,為了防患未然,不只是網路要進行微分段,應用程式也應該運用這樣的方式區隔彼此,以免遭到池魚之殃。
3.違反政策時,相關系統應發出警報或阻止通信。我們可透過資安防護與管理系統,進行持續監控、比對入侵指標(IoC),若發現資安威脅,應儘快進行鑑識分析與復原處理。

工作場所的保護

對於工作場所,思科零信任架構的保護對象著重在軟體定義「網路」的存取,範圍包含伺服器、端點、IoT、OT設備,而對於所要控管的存取來源,同樣是內部網路、公有雲、混合雲,而在主要應用的場景上,則是網路活動的透視與分段,可針對所有用戶與端點、物聯網設備的網路連接,設立最低權限存取(least privilege access)控制。。

若要驗證工作場所的保護是否可信,思科會聚焦在網路的存取方式;至於NIST SP 800-207的標準對應,思科此處採行的作法是以軟體定義的方式,對網路基礎架構的存取進行控管,對應的思科解決方案應為SD-Access、DNA Center、ISE。

對於資安功能,思科對於工作場所的保護,可涵蓋整個網路的所有用戶和設備,提供完整的網路透視,防止未經授權的網路存取與惡意侵入行為。

對於工作場所的保護,朱育民認為,企業需「看得懂所有東西」,才能清楚定義每個資源,進而針對不同資源的特性,訂定相應的政策。例如,首先需了解所要管理的設備是伺服器或筆電,這些設備是用VPN連入企業內部網路?還是原本就身處企業內部網路?以不同設備的型態而言,甚至會牽涉到企業能否將代理程式部署進去的考量,若無法這麼做,那麼,如何透過政策強制實施去改變這些列管設備的行為。而這種種考慮與防護的面向,他表示,其實都可以透過軟體定義的方式來進行。

若要透過自我評估的方式,了解對於工作場所的資安防護是否足夠,思科也提出一些建議方向,讓企業可以從下列問題來著手確認。

●用戶和設備是否通過身分驗證?
●他們被授予那些存取權限?
●網路內設備是否安全?
●​是否基於信任存取原則來設計網路分段(segmentation)?

基於上述考量來推動之餘,我們若要持續驗證企業的工作場所已受到保護,思科認為,可依照下列方式來進行。

1.授予用戶和設備適當等級的網路存取權限。在實作上,我們可借助具備網路身分驗證和授權(Authentication and Authorization)功能的系統,來進行集中管理。
2.針對網路上的用戶、設備和應用,進行分類與分段。我們可運用網路分段(Network Segmentation)的方式,在這些存取的部分當中,彼此區隔開來。
3.​針對受入侵的端點,撤銷網路存取權限並隔離。透過 持續監控,以及資安威脅反應機制,限制被攻破的端點設備,禁止它們連上網路,而且不得與其他設備連接。

整體而言,思科提出的零信任架構,最主要的目的,應是希望提供企業一個檢視自身資安系統防護配置的基本框架,裡面當然也對應了他們主打的各色資安產品,在近幾年來的全球用戶大會Cisco Live!,以及資安研討會的場合,他們勢必繼續基於這個架構來探討資安防護。

熱門新聞


Advertisement