「零信任」的運作方式
零信任背後的基本想法是假設所有裝置和使用者都是不值得信任的,除非另有證明。 即使使用者或實體被證明是值得信賴的一次,零信任模型預設情況下也不會在系統下次看到相同的使用者或裝置時信任它們。 對零信任模型的信任永遠不會被視為理所當然,而是基於觀察和定期身份驗證,以幫助限制風險。
在雲端安全聯盟(CSA)的推動與支持下,大家開始會將「零信任」的概念與軟體定義安全邊界(SDP)結合在一起。
在一般的軟體定義安全邊界中,會有一個訂定各項資安規範的控制器,代理程式可以與這些控制器連線並根據資安規範來存取不同的資源。閘道器元件能幫忙將流量引導至對應的數據中心或雲端資源。裝置和服務會透過軟體定義安全邊界的代理程式,來對控制器進行連線並請求所需資源的存取權限。在這個過程中,裝置的健康檢查、使用者檔案建檔(包括行為資料)和多重身份驗證機制都會被用來檢驗系統的資安態勢。
零信任模型表示,在代理或主機連接的每個階段,都應該有一個安全邊界來驗證請求是否經過身份驗證並有權繼續。 不是在提供正確的使用者名稱和密碼或存取權杖後依賴隱式信任,根據定義零信任,一切都是不可信的,需要在提供存取之前進行檢查。
零信任部署的挑戰
零信任能夠幫助企業組織減少會被攻擊的介面並降低資安風險的好主意,但零信任的部署與實施亦是有其複雜性和挑戰的。
在為軟體定義安全邊界實施零信任策略時,大家會碰到一個重大的挑戰:零信任策略的實施受制於內部部署的架構為何,這會需要大家準備裝置憑證,並確認系統網路有支援 802.1x 協議,以保障以連接埠為基礎的網路存取管控機能(NAC)。
為跨多個公有雲端和本地部署提供全面性的端對端支援會是一個枯燥乏味且費時耗力的任務。
乍聽之下,您可能會感到困惑,但企業組織常會因為零信任解決方案的中間程序會涉及資料的解密,而無法完全信任零信任解決方案。
通常來說,企業組織本身就已經會備有各式各樣的資安工具,舉凡 VPN 和防火牆。零信任解決方案的供應商該如何說服企業組織並幫助他們成長,常常是一大難題。
是否部署零信任解決方案通常取決於實際設定的難易程度
零信任部署的注意事項
就現有網路和應用程式拓撲來說,零信任模型會以覆疊的樣式運作。因此,能否建立一個方便您管理分佈式網路的靈活資料平面,可說是一個相當關鍵的考慮因素。
在最終使用者係統上安裝裝置憑證和二進位檔案所需的工作量通常會因各種挑戰而變得更加複雜,包括時間和資源需求。 使用無代理解決方案是一個關鍵的考慮因素,因為它可以使擁有解決方案和擁有實際上可以在生產環境中快速部署的解決方案之間產生巨大差異。
考慮具有基於主機的安全模型的零信任工具。 在現代世界中,許多應用程式都是透過網路交付的,並且採用基於主機的方法與該模型保持一致。 在基於主機的零信任模型中,系統驗證給定的最終使用者係統是否已獲得正確授權以接收特定資源的存取權杖。
了解加密在零信任模型中的工作原理也很重要。 一種選擇是在零信任部署中強制執行端對端加密。
如何在雲端部署零信任
軟體定義安全邊界的基本方案是特別為內部部署的零信任模型所規劃而來的。若是要為雲端環境進行部署的話,軟體定義安全邊界的方案可能就沒那麽簡單了。不同的雲端服務供應商會有不同的系統,這樣的情況會為任何類型的部署計劃增添更多可能的麻煩。
多雲端部署業務持續增長的趨勢大幅提高了業務本身的繁雜程度。也因爲如此,大家現在不只要面對一個公有雲端服務供應商的部署挑戰,要怎麼跨多個公有雲端服務供應商進行部署和實行零信任模型也是大家常頭痛的問題。
就多雲端部署而言,部署零信任的一個方法是善加利用開源的 Kubernetes 容器協作平台。所有大家常見的公有雲端服務供應商都有支援 Kubernetes,舉凡 Amazon Web Services(AWS)、Microsoft Azure 或是 Google Cloud Platform(GCP)。有了 Kubernetes,您便能透過控制平面來管理在 Docker 容器中運行的各類應用程式。
在組合和部署實施零信任所需的應用程式時,選用 Docker 容器是一種能幫忙進一步降低部署業務複雜程度的可行方法。透過採用 Kubernetes 系統的雲端原生方案,您就無需為不同的系統安裝各式各樣的應用程式執行檔,這樣,您就可以為自己免除多雲端環境業務的麻煩事。
每個雲端環境的結構也都是不一樣的,各個公有雲端服務供應商在世界各地都有多個不同的地理區域和地帶區別。各項部署的目的不外乎是為了要確保終端使用者們能夠盡可能地取用所需的資源。將零信任模型部署到雲端環境時,請務必要選擇在世界各地具有多個業務機能據點的解決方案,以幫助您盡可能地減少網路延遲。
為什麼零信任部署值得付出努力
IT 業務很難會有充裕的資源,再者,如今幾乎沒有幾個企業組織的手中會握有完成所有業務所需的預算。有時候,再新增一個零信任的資安機能常會被他人覺得你又在找麻煩,想要從 IT 部門挖走更多寶貴的時間與業務資源。
如果部署得當的話,零信任其實能為忙得焦頭爛耳的 IT 員工分憂解勞。
在基於非零信任的網路環境中,使用者名稱和密碼通常是存取的主要看門人,以及基於基本目錄(Active Directory 或其他)的身份和存取管理技術。 防火牆和入侵防護系統 (IPS)也通常被部署來幫助提高安全性。
然而,這些系統實際上所做的都不是持續驗證給定存取請求的狀態。 如果確實出現問題,例如憑證遺失或被盜,IT 人員需要額外的時間和精力來尋找根本原因並進行補救。
在正確配置和部署的零信任環境中,所有存取都會得到驗證。 這意味著,IT 人員不需要弄清楚憑證是否被濫用以及系統是否被破壞,零信任網路總是以零存取的假設開始。 只有透過驗證才能授予存取權限。 零信任意味著攻擊面減少,這通常意味著風險降低。
這也意味著 IT 人員花在思考帳戶是否遭到破壞以及挖掘日誌以找出發生了什麼情況的時間更少。 在零信任的情況下,永遠不會向受感染的機器授予存取權限,並且對手在網路上的潛在橫向移動受到限制。
零信任部署清單
在思考要如何實裝零信任解決方案時,還請您要問問自己以下幾個簡單的問題。
- 易於部署:系統啟動並運作的速度有多快? 提供者是否強迫您改變環境以適應他們的解決方案? (例如,透過在防火牆中開啟連接埠)
- 多雲端支援:零信任解決方案是否可以輕鬆實現跨多個公有雲端供應商的支援? 您能否有效保護多個雲端上的工作負載?
- 加密:零信任解決方案如何處理加密並確保資料安全? 加密金鑰儲存在哪裡?您可以攜帶自己的金鑰嗎?
- 可擴充性:零信任架構的可擴充性如何? 它能滿足您的工作負載需求嗎?
- 安全性:解決方案提供者正在執行哪些安全措施? 它是否保持簡化的安全週期? 它是否可以提供附加的安全層,例如應用程式存取層級的DDoS 保護,或者是否需要使用第三方機制?
- 可見性:此解決方案能否為內容、DLP 和惡意/異常行為提供幕後流量檢查?
- 服務與支援:零信任解決方案提供者是否會幫助解決任何問題?
- 價值:解決方案是否提供附加價值? 了解零信任解決方案如何以及在何處提供超越現有安全工具所提供的價值、功能和風險降低。
反映意見