Professional Documents
Culture Documents
家、廠商都在提倡,美國國家標準暨技術研究院(NIST)在 2020 年
與導入策略談起,讓大家更瞭解 ZTA。
打破迷思,零信任其實還是存在信任關係,
不純粹信任網路邊界才是重點
對於零信任架構大家的認知是什麼?是指全部都不信任嗎?查士朝
指出,多數人可能因為零信任架構這樣的名稱,而有了很多誤解。
他說明,在企業防禦上,以往採區隔信賴邊界的做法,作為信任與否
的憑藉,但在沒有區隔信賴邊界狀況時,就會變成所有的元件,都要
經過重新經過安全的分析,才能判斷一個服務到底安不安全。
然而,不論使用資訊服務或任何事,其實一定都會存在某種程度的信
賴基礎。他舉例,像是基於對於憑證管理中心(CA)的信賴,而去
建立安全連線與簽章,相信對方是真的連接對象;基於對伺服器硬體
的信任,因而在上面部署各式服務;以及基於對程式編輯器的信任,
而使用它來開發程式。
因此,大家在理解零信任時,並不表示任何東西都不能信任。他解釋,
我們不能只信任內網的使用者,但也不能單純不信任外網的使用者,
重點其實在於:不能單純因為邊界,而去決定要不要信任使用者。
這是因為,傳統強化邊界的方法,在面對新興存取方式時有著不少挑
新興存取行為的因應對策。
較為具體地零信任概念(Zero Trust architecture,ZTA)
,是在 2010
進一步探究近代零信任概念發展與現況
關於零信任概念的發展,追溯最早的起源,查士朝認為,可以說是來
是關注於網路資源在不同企業的共享與利用,可以去除企業之間的邊
界,因此主要是聚焦無邊界趨勢下的網路安全解決方案。不過,當時
論壇延伸出的技術探討,也成為了零信任後續發展的基礎。
查士朝舉例,像是不因內網或外網而有信任或不信任的情況,也會不
會有絕對信任的使用者,而是判斷用戶行為與情境,再去決定相關權
限。
容,來說明發展現況。
大核心,包括:使用整合的分割閘道器(Segmentation gateway)
為網路核心;建立平行且安全的網路分隔;需考慮網路後臺的集中管
理;以及建立資料蒐集網路,以掌握網路的完整狀況。
的信任判斷依據。查士朝強調的部分在於:對於任何關鍵資源,在存
取前都要檢查使用者是否有權限。因此,需要經過存取控制的政策落
實點(PEP),做到權限的檢查,而在檢查過程當中,將透過政策決
策點(PDP)來判斷是否有權限做這樣的事情。並且,此一過程將考
慮到更多面向的資訊,包括資料存取政策、SIEM、活動記錄,以及
威脅情資等 8 類資料來源,幫助決定存取決策。
而 ZTA 上述作法,更是具體說明了零信任還是有信任關係存在。查
到檢查。
鍵的政策落實點(PEP)與政策決策點(PDP)。
ZTA 並非獨特架構,而是告訴大家安全
上應考慮的原則
現在 NIST SP 800-207 所描繪的 ZTA,與 10 年前有何差異?查士朝
認為,在於增加了對於風險或存取情境的存取控制考量。
架構,而是列出一些教條,也就是 7 大原則,讓各式實作能依循以符
合 ZTA。
算服務都要被當作是資源;(二)不管適合哪個位置的裝置通訊,都
需要確保安全;(三)對於個別企業資源的存取要求,應該要以每次
連線為基礎去許可;(四)資源的存取應該要基於客戶端識別、應用
服務,以及要求存取資安可觀察到的狀態,以及可能包括的行為或環
境屬性,去動態決定;(五)企業監控與衡量所有擁有與相關資訊資
產的正確性與安全狀態;(六)在允許存取之前,所有的資源的身分
鑑別與授權機制,都要是依監控結果動態決定,並且嚴格落實;(七)
企業應該要盡可能收集有關資訊資產、網路架構、骨幹,以及通訊的
現況,並用這些資訊來增進安全狀態。
因此,從這些原則所關注的焦點來看,簡而言之,就是識別可存取資
源、連線安全、妥善存取控制、考量存取者狀態、了解資源狀態,以
及監控裝置與資源風險,持續蒐集資訊與改善。
說明。
首先是,可存取資源的識別,基本要知道哪些資源可被存取,那些資
源不能被存取;其次,使用者層級的權限控制,需考慮使用者的身分,
透過身分層級去做存取控制;最後,是在存取控制加入對風險的考量,
透過風險考量每次決定使用者是否存在相關風險,判斷是否能夠存取
資源,動態改變存取的原則。
在近年 ZTA 參考設計的主軸來看,查士朝強調 3 大重點,可存取資
源的識別、使用者層級的權限控制,以及存取控制加入對風險的考
量。
ZTA 也不是要立即替換既有邊緣安全機
式,包括基於資源、限制區域、雲端與微分割的部署方式。這些是企
舉例來說,以基於資源的布署方式而言,在每個資源存取之前,都要
取,並且不允許存取受保護的資源,如果裝置安裝了保護軟體並經妥
善設定,才能夠依使用者的身分與狀態,存取這些受到進階保護的資
源。因此,在這樣的概念中,不只是資源存取的強化,也包含了存取
者風險狀態的綜合考量;此外,他也針對基於雲端的布署方式做說明,
企業除了在雲端設置一個存取閘道,控管上將有兩種選擇,可將 PEP
與 PDP 設置於企業內部或是雲端。
不過,這部分他更想談論的是,既有邊緣安全機制是否無用之地?他
身分鑑別與存取控制資訊,次世代防火牆(NGFW)可做為 PEP,但
通常還要加入對於裝置安全的考量,而入侵偵測與防禦系統(IDP/IPS)
其他網路設備同樣會有合適的作用,像是網路防火牆,在某種程度上
還是可以扮演政策執行點的角色;Web 應用防火牆(WAF)仍可用
來減少攻擊介面;網路存取控制(NAC)可做為限制存取客戶端的
初步手段;至於負載平衡器,在零信任架構中仍然需要,只是部署方
式可能需要改變。
唯一可能會被淘汰的資安應用,他認為是 VPN。
市面上探討的 ZTA 部署方式可分為四種,查士朝特別用簡單的架構
圖,來呈現基於資源、限制區域、雲端與微分割的不同部署方式。
建議採階段式導入,從掌握現況、強化根
基再到深化安全
更建議,可採取階段導入方式來一步步完成,同時他更歸納出 3 大階
段 10 大步驟,讓企業能有更簡單的依循方式。
首先,企業一開始不要急著花錢,應該要能掌握現況,先知道自己有
哪些重要資源需要保護,並對既有的存取原則與安全控制作了解。簡
單來說,初期步驟就是要盤點所有企業資源與存取情境,掌握既有存
取控制規則,以及掌握既有安全控制措施。
接下來是慢慢強化,也就是將既有存取控制進一步強化,確認存取控
制是否正確,以及確認安全問題等。具體而言,這裡的步驟包括:強
化存取控制措施、強化記錄機制、強化強化災難復原機制與資安檢
查。
最後是更進一步深化安全,像是做到能夠依照收到 Log 紀錄與知道
的風險,去動態調整存取控制原則,他認為,這時候再去布置零信任
相關元件,或許是比較好的做法。因此,相關步驟包括:掌握風險資
訊提前因應、依存取情境變更存取權限、持續檢討與改善。
整體而言,在本場零信任架構的演講中,查士朝期望大家都能夠先釐
或組織的資安架構。包括要大家能理解,ZTA 還是會信任某些元件,
但重點更是要我們不只是純粹信任網路的邊界,並要認識 ZTA 不是
一個獨特的架構,而是在安全上要考量到某一些原則,以及知道 ZTA
並不是要我們汰換原有的所有邊緣安全機制。
盤點使用者與資源、妥善部署資源、檢視權限並落實存取控制,以及
掌握資源與使用者狀態。他並表示,如果企業想要以最快方式完成這
些動作,將重要資源集中是關鍵,並在前方設置相關次世代防火牆,
做到資源動態配置與加強存取控制,這些是最基本要做到的部分。此
外,企業也應懂得考慮本身的狀態,引入相關概念來逐步強化。
在 NIST SP 800-207 中已經列出了導入零信任架構步驟的建議,查
士朝將其架構譯成中文內容,讓現場會眾可以更好理解。
導入 ZTA 先別急著花錢,查士朝建議,可採取階段式導入概念,一
開始可以先掌握現況,盤點要保護的重要資源與既有存取原則與安全
控制,之後再循序強化,最終做到掌握風險資訊提前因應、依存取情
境變更存取權限,以及持續檢討與改善。