4 分鐘閱讀

零信任已成為網路安全的其中一個最新流行術語。必須瞭解什麼是零信任,什麼不是零信任。

零信任是有助於防止數據洩露得逞的策略計劃,能夠消除企業網路架構中的信任概念。零信任採取「永不信任,持續檢驗」的原則,能夠運用網路區隔、防止橫向移動、提供第七層威脅防禦,並簡化精細的使用者存取控制,藉以保護現代數位環境。

零信任是由 John Kindervag 擔任 Forrester Research 副總裁兼首席分析師時提出的構想,當時的傳統安全模型基於企業網路中的所有事物都應該受到信任的過時假設進行運作。在這種不完善的信任模型下,假設使用者的身分不會受到危害,而且所有使用者都以負責任的方式進行作業,而且可以受到信任。零信任模型認為信任是弱點。進入網路之後,使用者 (包括威脅行動者和惡意內部人員) 可以自由地橫向移動,並存取或洩露不侷限使用者的任何數據。請記住,攻擊的滲透點通常不是目標位置。

根據 2018 年第 4 季報告「Forrester Wave™:授權的身分管理」,這個信任模型持續濫用憑證。1 零信任不是要使系統受到信任,而是要消除信任。

零信任架構

在零信任中,您必須確認「保護範圍」。保護範圍由網路最關鍵且最具價值的數據、資產、應用程式和服務 (簡稱 DAAS) 組成。對於每個企業,保護範圍是獨特的範圍。因為這只包含對企業營運最關鍵的內容,所以保護範圍的規模等級遠小於攻擊範圍,而且是可知的。

您確認保護範圍之後,即可確認流量如何在整個企業中相對於保護範圍移動。唯有瞭解使用者的身分、使用者正在使用的應用程式,以及使用者的連線方式,才能確定並實施確保安全存取數據的政策。瞭解 DAAS、基礎結構、服務和使用者之間的相依性之後,就應該將控制元件放置在盡可能靠近保護範圍的位置,並在周圍建立微型周邊。無論保護範圍在哪裡,這個微型周邊都會隨著保護範圍移動。您可以透過部署區隔閘道 (通常稱為新世代防火牆) 建立微型周邊,藉以確保只有允許的已知流量或合法應用程式才能存取保護範圍。

區隔閘道提供流量的精細可視性,並基於 Kipling 方法的精細第七層政策實施檢驗和存取控制的其他層,這個方法會根據對象、內容、時間、位置、原因和方式定義零信任政策。零信任政策可確定哪些人可以隨時通過微型周邊,藉此防止未經授權的使用者存取您的保護範圍,並防止敏感數據外洩。零信任僅適用於第七層。

對於保護範圍建立「零信任」政策之後,您將繼續進行即時監控和維護,找出保護範圍中應該包括的內容、尚未考慮的相依性,以及改善政策的方式。

零信任:保持與企業一樣的動態

零信任不依賴於位置。使用者、裝置和應用程式工作負載現在無處不在,因此您無法在一個位置實施零信任,而是必須在整個環境中擴大零信任。適當的使用者需要權限,才能存取適當的應用程式和數據。

使用者也可以隨處存取關鍵的應用程式和工作負載:家裡、咖啡店、辦公室和小型分公司。零信任需要可以直接在裝置上或透過雲端交付的一致可視性、執行和控制。軟體定義周邊可提供安全的使用者存取權限,並防止數據遺失,無論使用者身在何處、正在使用哪些裝置,或在何處託管工作負載和數據 (亦即數據中心、公有雲或 SaaS 應用程式)。  

工作負載極為動態,可以在多個數據中心以及公有雲、私有雲和混合雲之間移動。對於零信任,您必須深入瞭解使用者、裝置、網路、應用程式和數據之間的活動和相依性。區隔閘道可以監控流量、阻止威脅,並在內部部署數據中心和多雲端環境中對於南北向和東西向流量實施精細存取。  

部署零信任

採用零信任通常被認為需要高成本,而且相當複雜。不過,零信任建立在您現有的架構上,不需要您淘汰和取代現有技術。沒有零信任產品。一些產品在零信任環境中正常運作,另一些產品則無法正常運作。使用簡單的五大步驟方法也能夠輕鬆部署、實施和維護零信任。這個引導的程序有助於確認您的現況和未來的走向:

  1. 確認保護範圍

  2. 對應交易流量

  3. 建立零信任架構

  4. 建立零信任政策

  5. 監控和維護

零信任環境由涵蓋單一 DAAS 元素的保護範圍組成,DAAS 元素透過區隔閘道採用 Kipling 方法政策在第七層實施的微型周邊進行保護。建立零信任環境是可以一次重複一個保護範圍/DAAS 元素的簡單疊代程序。

若要瞭解零信任以及如何在企業中實施零信任的詳細資訊,請閱讀白皮書五大步驟方法簡化零信任實作

 

如何採用零信任架構

使用零信任獲得對於使用者、裝置、位置和應用程式中所有流量的可視性和脈絡,以及內部流量可視性的分區功能。若要獲得流量的可視性和脈絡,需要具備解密功能的新世代防火牆。新世代防火牆支援對周邊啟用微區隔,並做為企業內部的邊界控制。雖然必須保護外部周邊邊界,不過流量經過網路的不同功能時,更需要獲得可視性來驗證流量。新增雙因素驗證和其他驗證方法,將提高您正確驗證使用者的能力。運用零信任方法識別您的業務流程、使用者、數據、數據流和相關風險,並設定可以按照相關風險在每次疊代時自動更新的政策規則。

若要瞭解零信任和實施零信任網路的詳細資訊,請閱讀白皮書「5 個步驟實現零信任」或觀看「如何為數據中心啟用零信任安全性」網路研討會。

您也可以造訪 Palo Alto Networks 網站,查看下列頁面以瞭解詳細資訊:

1「Forrester Wave™:授權的身分管理」,2018 年第 4 季。 https://www.forrester.com/report/The+Forrester+Wave+Privileged+Identity+Management+Q4+2018/-/E-RES141474

資料表

Cortex XDR

藉著統一網路、端點與雲端數據,來追蹤與阻止隱匿性攻擊

  • 4772

文章

什麼是 MITRE ATT&CK 架構?

  • 514

文章

什麼是擴展的偵測與回應 (XDR)?

擴展的偵測與回應 (或 XDR) 是一種全新的威脅偵測與回應方法,可以針對網路攻擊、未經授權的存取和濫用提供全面防護。

  • 816

文章

惡意軟體 | 什麼是惡意軟體,以及如何抵禦來自惡意軟體的攻擊

Malware is a file or code, typically delivered over a network, that infects, explores, steals or conducts virtually any behavior an attacker wants.

  • 299

白皮書

Cortex XDR 白皮書

安全團隊經常面對令人眼花撩亂的各種威脅,從勒索軟體和網路間諜到無檔案攻擊和破壞性的數據洩露等等。不過,最讓許多安全分析師頭疼的並非是層出不窮地登上媒體頭條新聞的各種風險,而是每天都必須處理許多令人感到挫折的重複性工作,同時還要進行事件分類並嘗試解決永無止境的待處理警示。

  • 2200

文章

什麼是安全作業中心 (SOC)?

安全作業中心 (SOC) 是負責監控和管理企業安全狀況的集中化單位。它通常由安全專業人員組成,主要負責識別、回應和緩解安全威脅。

  • 198

取得最新資訊、活動邀請,以及威脅警示