採用「信任但驗證」的方法
歷史上,許多組織都擁有以周邊為中心的安全模型。 這個模型與城堡的模型類似,周圍牆可以防止潛在攻擊者出門,而周圍內的一切都被認為是「可信的」。 在此安全模型下,網路安全防禦部署在網路外圍,並檢查入站和出站流量,以阻止潛在威脅,避免它們對組織造成損害。
但是,此安全模型有其問題。 就像城堡一樣,如果周圍內的人是威脅,那麼防禦不會對他們提供保護。 此外,受保護網路邊界以外的任何資源(包括組織的雲端基礎設施、遠端工作人員等)根本不受保護。
零信任安全模型旨在消除與基於周邊模型相關的安全風險。 而不是盲目信任周圍內的任何人,而是根據個別情況授予訪問請求。 這些決策基於基於角色的存取控制,其中使用者或應用程式的權限源自於他們在組織內的角色和職責。
零信任架構背後的技術
零信任安全策略將管理使用者存取的過程分為兩個階段:
- 用戶身份驗證:零信任架構基於強大的用戶身份驗證的概念。 以角色為基礎的存取控制與使用者身分相關,因此強烈驗證使用者身份是至關重要的。
- 存取管理:驗證使用者身份之後,必須確保使用者獲得存取資源的授權。 這包括確保無法繞過存取控制,這會允許未經授權存取資源。
實作零信任架構需要一些技術:
- 身分識別與存取管理 (IAM): IAM 解決方案旨在定義和管理與企業網路內的使用者帳戶關聯的權限。IAM 解決方案會決定是否在零信任架構中允許或拒絕存取請求。
- 多重身份驗證 (MFA):由於普遍使用弱密碼或重複使用的密碼以及憑證洩露的可能性很高,基於密碼的身份驗證是不安全的。零信任架構中的強大使用者驗證需要 MFA 來確保使用者身分。
- 端點保護:受損端點可能允許攻擊者使用授權使用者的會話來存取受保護的資源。強大的端點資安對於防止帳戶被盜至關重要。
- 零信任網路存取 (ZTNA):遠端工作變得越來越普遍,因此有必要實現零信任作為安全遠端存取的一部分。ZTNA 技術可以持續監控並將零信任架構的原則應用於遠端連接。
- 微分段:基於邊界的網路防火牆不足以實現零信任安全。內部網路分段對於在企業網路內實施零信任策略至關重要。
- 可視性和分析:零信任架構包括持續監控、關聯和分析日誌以查找洩漏跡象(例如網路釣魚、洩漏憑證等)的元件。
零信任安全的主要優點
零信任安全性旨在透過強制以角色為基礎的存取控制原則、微分段和監控來限制未經授權存取企業資源。 這為組織提供許多好處,包括:
- 降低網路安全風險:網路犯罪分子很少能夠立即達到他們的目標,相反,他們必須透過網路從最初的入口點橫向移動到他們的目標。零信任安全性透過限制任何帳戶對網路資源的訪問,使這種橫向移動變得更加困難。這使攻擊更容易偵測,並降低攻擊者成功的機率。
- 提高網路可見度:透過以邊界為中心的安全模型,組織可以在很大程度上了解網路邊界的網路流量。透過微分段強制實施的零信任架構,它可以實現更精細的可見性水平。 這既可以改善網路攻擊的偵測,也可以幫助網路優化。
- 簡化監管合規性:資料保護法規通常要求組織證明對敏感資料的存取是基於需要知道的限制。透過零信任架構,組織可以輕鬆實施這些存取控制並證明對監管機構的合規性。
部署零信任安全性
實施零信任安全性可大幅降低組織的網路風險。 此外,該模型可以幫助改進威脅偵測並提高組織內部網路的可見度。
但是,設計和實作有效的零信任架構是一個多階段的過程。 若要進一步了解如何實作零信任,請參閱實施零信任安全的實用方法。 也歡迎您觀看本次網路研討會,了解 Check Point Infinity 如何協助您在組織內輕鬆有效地實施零信任架構。
反映意見