News
技術新知
2021-11-09 零信任!重新定義資訊安全模式 零信任是確保資安的根本之道
近年來,資訊網路安全觀念中的零信任架構(Zero Trust Architecture)愈趨重視,2021年5月12日,美國總統拜登下達行政命令,公布多項國家網路安全策略,期望改善該國的資安現況,當中最受關注的焦點之一,就是推動美國聯邦政府網路安全現代化,要求導入零信任架構的網路安全策略,由此可見,零信任已然成為美國國家級資安戰略,政府、企業與國防都看重的資安議題。
 
另一方面,全球疫情持續至今,工作型態重新被塑造,眾多分析師認為:即使在疫情結束後,許多企業或組織仍將繼續針對可遠端處理工作的員工,推行在家工作(WFH)的措施。臺灣在2021年也深受其影響,在這樣的趨勢下,零信任將成為企業與組織,都值得參考與重視的網路安全防護焦點。
 
什麼是「零信任」?
「零信任」是一套安全模型,在這套模型中,不能直接相信任何裝置、使用者或網路區段,預設其為潛在威脅,且這些安全威脅可能存在於網路內外部,每個在網路上存取資源的裝置和人員,都必須經過驗證後,才可以依政策權限存取。
 
「零信任」如何實踐?
歸納成以下核心原則:
  • 全方位掌握能力 – 主動和被動探索功能可以全面掌握網路上所有使用者與裝置,協助實作控制項。
  • 最少存取微分割與控制項 – 存取控制原則為裝置或使用者授予絕對必要之資源的存取權限,並與不必要的其他資源分割。
  • 持續監控和執行 – 持續監控網路上的使用者與裝置,能夠大大降低威脅和惡意軟體相關風險。

如何應用零信任」的資安架構?

在授予存取權限或允許連接之前,先建立信任,簡單來說,即為必須先驗證其可信度,再授予存取權限,可確保從任何用戶、設備和位置,進行安全的應用程式存取。
因為零信任架構並不是指特定的技術,而是多種技術的應用整合,因此現有許多資安產品、服務或產品組合,可以協助實現零信任目標。若以產品與服務角度,Zero Trust零信任網路安全架構涉及身份認證、網路安全、資料安全、端點安全、安全分析、資安營運自動化響應(SOAR)及資安策略管理等眾多產品與服務。
 
其資安架構可應用於以下三種場景:

 
 
 
 
 
 
 
 
 


Zero Trust for the Workforce 員工及設備零信任

借助零信任資安架構,確保只有合適的用戶和安全設備才能訪問應用程式。
 
要解決的問題:
  • 避免網路釣魚威脅
  • 防範惡意軟體攻擊
  • 預防帳密竊取佔用
 
如何解決:
多因素認證 (Multi-factor authentication, MFA) + 端點設備確認 (Device Check)
 

 
 
Zero Trust for the Workplace (工作場所零信任)
掌握使用者和裝置動態,以及識別威脅並控制網路的所有連線。
 
要解決的問題:
  • 完整的網路可見性
  • 防止未經授權的存取
  • 內網異常流量安全分析
 
如何解決:
網路存取控制(Network Access control, NAC) 
透過對公司網路的裝置和使用者強制執行原則,藉此支援網路能見度和存取管理。使用 NAC保護網絡中的所有用戶和設備連接,包括 IT 和物聯網。
 
網路流量分析(Network Traffic Analysis, NTA
可收集並處理網路傳輸流量資料,進而徹底掌握網路傳輸流量情況。
 
網路偵測與回應(Network Detection and Response, NDR
偵測即時側錄或是截取的網路流量,也透過機器學習或是人工智慧的機制,來加以解析流量的中繼資料(Metadata),從而找出且反應異常行為。
 
 

 
Zero Trust for Workloads (應用服務)
應用程式分段功能保護多雲端的混合型工作負載,並防止橫向移動。完整掌握及判定資料庫和應用程式內的相依性。
 
要解決的問題:
  • 完整的應用程式可視性
  • 遏制違規存取行為
  • 防止橫向移動
 
如何解決:
內部網路防火牆(Internal Segmentation Firewall, ISFW)
使用內部網路防火牆(ISFW),保護應用程式內的所有連接,跨越OA, Fab和Server Farm。
 
 

 
晉泰科技提供完整零信任資安架構解決方案
最早提出零信任架構的研究機構Forrester research在2019年底選出了14家提供零信任網路安全架構產品的主要廠商,並依相關的評估指標,其中Cisco、Forescout、Palo Alto Networks等品牌位於市場領先地位。