【技術文章】通向Zero Trust之路 - 了解與建置Zero Trust可視性架構(一)

Introduction

美國官方對Zero Trust的趨向

面對迅速發展的網路安全技術,政府機構向來未能做出敏捷、應對的決定。與一般企業網路安全策略的升級相比,政府網路安全政策的更改速度會慢上許多,而規模更巨大不少。這就是15年前就已經出現的“零信任(Zero Trust)”概念現在才成為政府機構網路的戰略重點的原因。


繼國防創新委員會(DIB)和美國技術工業諮詢委員會(American Council for Technology-Industry Advisory Council)的報告之後,聯邦政府現在將Zero Trust放在最優先增加的網路安全支出。


現在,各種各樣的政府計劃為政府機構網路和相關承包商,都在為了提供走向零信任模型的方法而努力著。 許多的政府指示和新標準,例如:《聯邦數據戰略行動計劃Federal Data Strategy action plan》、《 OPEN政府數據法案OPEN Government Data Act》、DHS Continuous Diagnostics and Mitigation (CDM) 計劃、美國國家標準技術研究院(NIST SP 800-207)以及網路安全成熟度模型認證( CMMC, Cybersecurity Maturity Model Certification)計劃,都正在促使向零信任的轉變成為一項迫切需要的長期計劃。儘管48%的聯邦政府IT決策者表示他們的機構正在實施零信任架構,但是也有十分之三的人仍然表示,他們嚴重依賴外圍防禦。1 對於仍然依賴基於外圍防禦的網路安全策略並且需要做好過渡準備的政府機構和IT團體,擁抱零信任的心態卻是無法避免的。然而,零信任架構並不是找一套單一的資訊安全解決方案就可以搞定的,這也是為什麼會建議越早開始著手進行越好。

當您開始踏上前往嶄新網際安全模式的路途時,請先問問自己這些關鍵問題:到底什麼是Zero Trust?要用什麼方式才能達成?實際執行上又需要些什麼呢?
本篇技術白皮書提供各位關於這些關鍵問題的解答,從而為政府網路機構提供了根據聯邦計劃(如CDM)實現網路安全成熟度的指南。


什麼是Zero Trust?

Zero Trust是與傳統的其於邊界防禦的網路安全方式背道而馳,因為其重點轉往每個單獨個體 ,而不是試圖建立起整個網路的保護。在網路防禦的關注面縮小之後,我們就可以對在日益分散的網路上的資源,更加強保護。

為什麼有這個必要呢? 美國國防部的說明提供了為什麼零信任架構(ZTA, Zero Trust Architecture)對於保護政府網路是日益重要:

“通過為網路中的特定應用程序和服務創建不同的、精細的存取規則,ZTA架構(Zero Trust Architecture) 可以顯著抵消DoD網路中的漏洞和威脅。 透過基本的Zero Trust原則就可以避免某些嚴重的網路違規存取的情況— 舉例來說,假設ZTA存取規則被套用在愛德華.史諾登(Edward Snowden)身上,那麼他就沒有辦法獲得公開給媒體的那些文件。相反地,他被賦予了NSA網路的系統管理員的特權 ,以至於他擁有對於那些資源和檔案有全面性的存取權。這種對網路外圍用戶和設備的盲目信任,是不可接受的,在不能解決這類問題之前,它都將繼續使國家安全信息和運營面臨風險。”

Zero Trust,對每個存取網路上任何地方的數據的用戶都採用了“永不信任且始終驗證 (Never Trust, Always Verify)”的方法。 根據ACT-IAC的指導,Zero Trust必須符合:

• 網路必須始終被認為是有敵意的
• 網路上始終存在外部和內部威脅
• 網路位置不足以決定信任度
• 每個裝置、使用者、和網路流都需要被認證和被授權
• 策略必須是動態的,而且要從盡可能多的數據來源中計算得出


雖然您的外圍安全解決方案將作為抵禦攻擊者的第一道防線,但是Zero Trust模型通過填補存取級別的漏洞,進一步為政府網路提供了保護。 這是一種微細區分的策略,可讓政府IT團隊針對網路安全採取更具針對性的方法。

Zero Trust方法的基本步驟就是驗證 - 驗證使用者、驗證裝置、驗證存取權。但是,要結合這些步驟可以有不只一種方法。 有四種的基本方法可以使政府網路機構實現Zero Trust。

實行Zero Trust 的四個關鍵

如果您的網路現在是從頭開始的狀態,那麼採用Zero Trust方法來保護數據和網路安全可能沒有那麼困難。但是,對於被一大堆舊時代方案和複雜的整合系統所充斥的政府網路而言,要有所改變並不是一件簡單的事。

與其在什麼限制都不存在的前提下思考Zero Trust,不如考慮在現有的網路及架構中如何實行的方法。對於聯邦機構和相關承包商,協調實作Zeru Trust模型有四個關鍵原則。

1. 持續認證(Continuous Authentication)

傳統上,身份驗證的問題圍繞具有基本密碼保護的單點故障展開。儘管兩因素身份驗證(two factor authentication)已越來越成為一種規範,但僅憑其仍不足以支持真正的Zero Trust方法。而且,讓用戶在存取控制的每個基礎點都進行身份驗證,這過程將使系統變得難以使用。

連續身份驗證透過了解用戶的行為並基於該信息創建驗證用的“指紋”,在Zero Trust和系統可用性之間取得平衡。這個“指紋”不是用來讓用戶輸入個人身份資訊,而是用來不斷評估用戶是否可以信任。任何使用者行為中被標記的異常行為都將讓使用者被拒絕存取 聯邦合同信息(FCI, Federal Contract Information)、受控未分類信息(CUI, Controlled Unclassified Information)或任何其他政府網路數據,直到對其進行正確身份驗證為止。

儘管持續認證的方式對於實作Zero Trust是個有著光明前景的方式,但是就目前而言,還不到可以完全倚賴,當作唯一方式的地步。

2. 裝置評估(Device Assessments)

政府機構長期以來一直非常抵制自帶設備(BYOD)的風潮,因為它有安全責任上的問題。 尤其,當您的網路安全策略取決於外圍防禦時,讓員工從自己的設備存取網路是一件嚴重的大麻煩。

在Zero Trust模型底下,您可以依照自定義的條件來評估每台裝置,提供員工更佳的使用者體驗,卻不會犧牲網路的防護。當持續驗證專注於使用者是否能被信任,裝置評估則是從硬體層面 ,建立不同策略來決定個別設備能夠存取網路的哪些部份。這些準則可能包括設備的作業系統,以及是否有某些安全預防措施的存在,例如PIN碼、生物識別技術和密碼等。

3. 使用者控制(User Controls)

政府機構不能只依靠自動化系統來支援Zero Trust模型。除了諸如“持續驗證”和“設備評估”之類的方法外,管理員還可以為政府機構中的某些角色建立存取控制。通過定義哪些角色可以存取什麼類型的數據和應用程式,您可以在支援Zero Trust模型的同時,而不會在對個別人員設定權限時,產生人為錯誤。

4. 應用程式存取權(Application Access)

與傳統的基於外圍防禦的安全策略相比,Zero Trust在很大程度上是圍繞應用程式而行的。確定對用戶和設備信任的主要目的是要確保無論他(它)們在哪裡上線,都可以無縫地、安全地存取應用程式。終極目標是讓每台受信任裝置都可以安全地存取應用程式,而毋須考慮其網路位置。


Zero Trust的從協調到實施


儘管“持續驗證”是個相當新的概念,但“設備評估”,“使用控制”和“應用程式存取權”的概念並不是。但是,當所有四種方法進行協作時,您將獲得更全面的安全性,從而為您的Zero Trust模型奠定基礎。

逐步將這些原則應用於您的資安策略,將帶您走上Zero Trust之路。除了這些協作的原則之外,政府機構需要採取明確的具體步驟來將Zero Trust實行在整個網路。


未完待續....

2021-08-03
版權所有 抄襲必究 copyright © 2021 翰特科技股份有限公司 All rights reserved.