在2021年5月12日,美国总统拜登下达行政命令,公布多项国家网络安全策略,期望改善该国的资安现况,当中最受关注的焦点之一,就是推动美国联邦-网络安全现代化,要求导入零信任架构的网络安全策略。
当中指出,美国-自身必须采取果断措施,让达成网络安全的方法能跟得上时代,包括提供-对威胁的可见度,以及保护隐私与公民自由,因此,美国-必须朝向零信任架构(Zero Trust Architecture)迈进,并加快脚步迁徙到安全云端服务。
由于在2020年8月,NIST已公布SP 800-207标准文件,成为美国-采用ZTA的指南,在2021年5月这次的行政命令中,更是规定当地-机构要在60天内,制定实施ZTA的计划,并参考NIST标准文件指引的导入建议。
因此,我们别以为这样的应用离现实还很远!在国际上,零信任概念带来的资讯安全架构重要转变,已经迈向普遍应用的阶段。
NIST零信任架构的组成
零信任架构中最主要的关键,就是每次资源存取都要经过存取控制的政策落实点(PEP)去确认是否放行,而此背后则是借由相应的政策决策点(PDP)来判断,特别的是,当中的政策引擎除了依据企业制定的资料存取政策,还应分析威情情资、SIEM、活动日志等多方资讯,来做到基于风险的评分以进行决策。资料来源:NIST,iThome整理,2021年7月
随着企业网络环境的改变,网络安全架构也该翻新
零信任的网络安全策略,演变至今,由NIST公布的SP 800-207标准文件,可说成为各界了解ZTA的重要参考依据。不过,对大多数国内企业组织而言,对于ZTA可能仍一知半解,为了更完整掌握这样的概念,我们找来台湾科技大学教授查士朝进行解读,他曾在今年台湾资安大会上,剖析个中关键NIST SP 800-207标准文件。
若要了解零信任,有那些重点要注意?首先是基本背景,NIST SP 800-207第一章,就是针对这部分的整理。
简单来说,现在IT架构变得复杂,超越了传统网络边界安全的作法,因为企业网络边界并不是单一存在,并且难以识别。所以,一旦攻击者突破边界后,后续横向移动则是畅通无阻。查士朝表示,ZTA主要就是针对传统强化边界的方法,面对BYOD、云端服务与远端工作等新兴存取方式的挑战而发展。
因此,现在提倡的新型网络安全模式,称之为零信任。基本上,零信任的方法,着重于资料与服务的保护,但也应该扩展到所有企业资产与主体,这些企业资产包括装置、基础架构元件、应用程序,以及虚拟与云端元件,而主体也包括来自使用者、应用程序或机器的资源请求。
根据NIST说明,零信任架构ZTA,是基于零信任原则企业网络安全架构,目的是为防止资料外泄与限制内部横向移动。零信任非单一的架构,而是关于工作流程与系统设计与营运的指导原则。
特别的是,NIST指出,过渡到ZTA将是一段旅程,并非透过全面的技术更换就能完成。其实,现在多数组织的IT基础设施,都已经有ZTA的元素,因此组织应逐步寻求零信任原则的实施、流程的变更,以及技术解决方案。
遵循的原则与信任关系是关键,组织内外资安管控应一致
在NIST SP 800-207第二章中,提供了外界更多关于零信任的基础知识。这里有两大部分值得重视:一是具体描绘出ZTA的设计与部署需遵循的基本原则,另一是提供了从零信任的视角来看待网络的假设与见解。对于导入ZTA的组织而言,有了基本原则与相关假设,就能根据这些来进行开发设计。
根据NIST说明,零信任是聚焦于资源保护为核心的网络安全模型。从其定义来看,零信任提供了一系列概念与相法,重点在于防止未经授权存取资料与服务,使存取控制尽可能做到更精细。
但是,存取控制有其不确定性,因此重点将放在身份验证、授权与限缩信任区域,而且,需要尽可能减少身份验证机制的时间延迟,保持可用性,并尽可能让存取规则更精细,让每次资源存取请求的操作,只提供所需的最小权限。
而在过渡到ZTA时,NIST也强调,不是单纯替换技术就可做到,而是关系到组织如何在其任务中评估风险的过程。
为了说明这方面的存取控制,NIST提供简要的存取模型。当使用者或机器需要存取企业资源时,会经过政策落实点(PEP),以及相应的政策决策点(PDP)来授予权限,为的是即时基于风险评估的结果,决定是否能够存取。
查士朝指出,NIST在此章节还统整出ZTA设计应遵循的7大基本原则,简而言之,主要是:识别可存取资源、连线安全、妥善存取控制、考量存取者状态、了解资源状态,以及监控装置与资源风险,持续搜集资讯与改善。
而关于零信任架构的设计与部署,都要依据这些原则来进行,但NIST也说这些原则是理想的目标,毕竟,并非所有原则都能以最纯粹的形式来实现。
另一方面,NIST也列出零信任角度下对于网络的6大假设,包括:
(1)企业私有网络不能预设为信任区
(2)网络中的装置有可能不是企业所拥有的,或是能被设定的
(3)任何资源并非天生就可受信赖
(4)并非所有企业资源都位于企业拥有的基础架构上
(5)远端使用者存取企业主体与资产时,不能完全信任本地的网络
(6)在企业与非企业基础建设之间移动的资产与工作流程,应具有一致的安全政策与安全状况。
不仅要持续验证,存取控制也应基于风险评估而动态调整
要如何实现零信任架构?在NIST SP 800-207第三章中,描绘ZTA逻辑元件的架构图,呈现ZTA核心元件的关系。
基本上,我们可将网络控管环境,区分为资料层,以及控制层。从资料层面来看,当任何主体透过系统要存取企业资源前,需先经过存取控制的政策落实点(PEP),决定是否给予权限。
而在这PEP的背后,将会借由控制层所相应的政策决策点(PDP)来判断,而PDP内部本身包含两部分,分别是负责演算的政策引擎(PE),以及负责策略执行的政策管理(PA)。
同时,在决策过程中,还会引入多方与外部资讯来帮助决策,包括:企业建立的资料存取政策、PKI、身份管理系统、SIEM平台资讯,以及威胁情报、网络与系统活动日志,还有美国-已提出持续诊断与缓解(CDM)系统,以及产业合规系统等。
查士朝表示,因此ZTA不只是依照管理者设定的政策去判断可否放行,政策引擎还要考量到多方外部资讯,做到即时调整控制权限。
另一方面,在此章节中,NIST还说明了一些较为技术性的内容,包含ZTA的3项必要技术,4种ZTA部署方式,以及政策引擎在考量多方与外部资讯时,所建议的可信任算法、风险评分机制,同时,还有ZTA网络环境的需求。
举例来说,由于ZTA并非单一架构,因此组织可透过多种方式为工作流程制定ZTA,因此NIST更是说明,完整的零信任解决方案,将具备3项要素,包括:进阶的身份治理(Enhanced Identity Governance)、网络微分割(Micro-Segmentation),以及软件定义边界(Software Defined Perimeters)。
在部署方式上,由于每个公司与组织的环境不同,NIST只是简单提出4种情境。简单来说,前两种是基于代理程式(Agent)的模式,差异在于存取资源时是否经过单独的网络闸道器,或是将很多资源部署在同个网段,经过同一个网络闸道器,后两种则是没有Agent的模式,不同处在于:一个是经过网页入口,另一是透过沙箱。
查士朝认为,要理解这些部署方式,其实可从在家工作的角度去思考,例如,透过下列3种状况来比较差异,包括:(1)完全隔离的工作环境、(2)在办公室工作、(3)异地分区办公。如此一来,能够更便于设想。
举例来说,我们可以试想远距或行动办公会面临的资安威胁。此时,通常较欠缺实体安全防御,也缺乏维护作业环境安全能力,而且居家也可能受到网络攻击,以及钓鱼邮件攻击,还有不安全的网络连线服务器主机,以及未妥善保护的企业网络资源等。
为了让大家对ZTA更有概念,他特别提到远端连线的种类,并引用SP 800-46来对照说明。
基本上,远端连线包括直接应用程序存取、Tunneling、远端桌面存取,以及入口(Portal),而在ZTA中,VPN只是连线工具,而非安全机制,远端桌面则有很多缺点,当远端机器很多时,容易产生安全问题,企业可能透过VDI做到集中式管理,因此,ZTA方案多半属于入口网站形式,透过入口服务器的验证,再让主体去存取后面的资源,Google的BeyondCorp就是典型的例子。
整体而言,查士朝认为ZTA有5大关键,包括保护装置安全、识别存取者身份、存取控制、持续监控并视为存取控制依据,以及现在存取范围,并以存取控制为核心,来考量其他技术元件。
对于ZTA整体布局情境,NIST现阶段仅提出较笼统的说明
ZTA有哪些参考使用案例?在NIST SP 800-207第四章稍微提到,针对部署情境举出5种企业型态的例子。像是:拥有卫星工厂的企业,使用多种云端服务的企业,拥有合约服务与非员工存取的企业,跨企业边界协作的企业,以及面向公众或客户服务的企业。
查士朝指出,这部分主要是在很单纯的实务情境中,说明可以如何部署,但细节并未着墨太多。
至于接下来两章的内容,分别是探讨ZTA的相关威胁,以及ZTA与美国既有联邦指引的关连,包括美国-在各方面提出的资安框架,以及法规要求等。
迈向零信任从评估着手,企业流程更是重要
由于迈向ZTA并非一蹴可几,因此NIST在这份标准文件的最后(第七章),特别提供了导入ZTA的步骤建议,让企业对于ZTA的导入更有方法。
以ZTA部署生命周期而言,首先要做到评估,这方面包含了系统清单、使用者清单,以及企业流程审查。也就是一开始就要对资产、主体与业务流程,有详细的了解,否则,一旦无法掌握企业现况,企业将无法确定需要那些新流程系统。而在评估之后,步骤则是风险评估与政策制定、部署与作业。
值得关注的是,NIST在这份文件说明掌握业务流程的重要性,因为,相关调查的进行,都与组织业务流程检查有关。同时,这些步骤可与NIST风险管理框架(RMF)的SP 800-37相对应。这是因为,采用ZTA的每个过程,也就是降低组织业务功能风险的过程。
整体而言,包括要识别企业中的攻击者,识别企业拥有的资产,接着要清查的部分,是关键流程并评估相关风险,之后再来制定ZTA策略与选择ZTA解决方案。
而在制定存取控制的政策时,也要考虑到基于风险评估的判断,后续,还要加强对于行为的监控。
零信任的下一关注焦点:ZTA的SP 1800系列实践指引将发布
就现阶段而言,有意导入ZTA的企业,NIST SP 800-207无疑是必须参考的内容,这其实也让日后各界在讨论ZTA时,能够有一致、共通的语言来沟通,至于后续是否还有其他更具体的资料可供大家参考?
事实上,美国NIST与旗下国家网络安全卓越中心(NCCoE),在2019年2月,启动了零信任架构的计划,当中有部分工作与此有关──除了发布NIST SP 800-207标准文件,他们还规划Zero Trust Test Lab实验室,以建立符合使用情境的网络环境,统整零信任技术与元件,进行场景测试。
NCCoE也表示,将启动实施ZTA的计划。他们已经在2020年10月,发布专案描述文件“Implementing a Zero Trust Architecture”,这里主要提供6个情境,而且是针对的是存取的情境来举例,同时也预告日后将发布基于零信任架构的SP 1800系列指引,以及提供最佳实务与资源,届时企业可以同时参考标准文件与实践指引,在设计、推动与落实零信任概念时,将会更有帮助。
零信任7大原则
1. 所有的资料来源与运算服务都要被当作是资源。
2. 不管适合哪个位置的装置通讯,都需确保安全。
3. 对于个别企业资源的存取要求,应该要以每次连线为基础去许可。
4. 资源的存取应该要基于客户端识别、应用服务,以及要求存取资安可观察到的状态,以及可能包括的行为或环境属性,去动态决定。
5. 企业监控与衡量所有拥有与相关资讯资产的正确性与安全状态。
6. 在允许存取之前,所有的资源的身份鉴别与授权机制,都要依监控结果动态决定,并且严格落实。
7. 企业应该要尽可能收集有关资讯资产、网络架构、骨干,以及通讯的现况,并用这些资讯来增进安全状态。
资料来源:NIST,iThome整理,2021年7月
相关报导
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- 淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
- 哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
- 白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
- 北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步2024-06-28 09:27:13
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15