面对零信任的议题,随着各大资安厂商的推动,以及美国NIST SP 800-207的文件发布,台湾企业与组织也很关心此一发展,但现阶段应该要有那些认知呢?我们找来多位资安专家与业者来解说,由他们提出具体的建议。
NIST已界定ZTA问题范围,奠定未来实作方向
尽管零信任已经谈了很多年,但随着NIST SP 800-207文件发布,探讨并说明如何建立零信任架构(Zero Trust architecture,ZTA),对于ZTA迈向实务的发展而言,有很大的意义。
台湾科技大学教授查士朝指出,这份标准文件,不仅是提供美国-遵循的依据,也可作为日后各界讨论ZTA时,可以作为名词上的共识,创造同样的说法让各界去应用,而后续也会有相关的SP 1800系列的网络安全实作指南,提供ZTA的实务指引。
对于SP 800-207带来的益处,奥义智慧资深研究员陈仲宽指出,它确定了各方探讨零信任时的问题范围,包括提出了ZTA逻辑元件构成,以及部署情境与用例。
同时,此文件也提供了具体的作法。例如,针对迈向零信任的步骤提出说明,包含当ZTA与传统架构并存,以及在传统网络架构导入ZTA的步骤。因此,NIST不仅是提出具体的架构,也提出如何渐进发展为ZTA的方式。
此外,由于这是第一个由-研究单位发布的白皮书,与之前许多厂商提出的白皮书相比,NIST在各方面较为客观,而且,在SP 800-207发布后,主要零信任解决方案的厂商也都做了与该文件的对照。因此,其重要性不言而喻。
厘清零信任网络安全的含意,有助于与各方的沟通与讨论
虽然零信任议题当红,各界看重其可带动网络安全的提升,但我们实际看待“零信任”议题时,还是有些观念有必要先厘清。
举例来说,近年在资安界热议的零信任,不论是零信任模型,以及零信任架构,都是基于企业网络安全范畴而论。
然而,一般人在接收零信任的观念时,若不清楚有相关前提,就字面上的直觉念头,可能会认为这只是“采取全不信任的态度”,或是联想到“尽可能限缩被攻击的表面”,虽然部分概念上并没有错,但基于零信任的网络安全,其内涵并不只是如此,而这样的认知落差,就很有可能容易产生混淆。
另一方面,许多资安厂商都已呼应零信任,或是提出打着零信任旗帜的解决方案,当企业用户在看待这样的字词时,也可能容易有认知落差。
查士朝表示,现在很多产品号称与ZTA相关,但企业用户必须了解:这些解决方案是满足ZTA的哪些方面需求?
他认为,最简单的方式,可借由ZTA的5大关键元素来区分,包括最核心的存取控制、以及识别存取者身份、持续监控并视为存取控制依据,还有保护装置安全与限制存取范围,以分辨该方案所涵盖的面向。
换言之,这将有助于要导入ZTA的企业用户,能够理解各家解决方案对应到的环节,或只是某环节下的一部分。让企业在看待这些解决方案时,可以更有逻辑。
关于各厂商提出的ZTA方案,工研院产业与经济研究中心电子与系统研究组研究经理徐富桂认为,由于每家厂商作法都不太一样,企业用户需考虑自身环境与情境,才能有效去应用。
以Google的BeyondCorp为例,可支援云端、企业内部部署或混合式环境,其作法是用户需连至特定的网站入口(Portal),以浏览器界面为主,因此,不同于在端点安装代理程式(Agent)的方式。
而在政策引擎的设计方面,每家厂商做法也会不同,使用的AI、机器学习、自动化等技术,以及风险评估的机制,也会成为各厂商技术上的独到之处。
台湾企业多半对零信任还陌生,阶段式导入从掌握现况做起
现在是否为迈向零信任网络安全的最好时机?过去企业可能对于BYOD、云端应用与远端工作等,已采取各自的解决方案,但相较之下,基于零信任原则的网络安全架构,算是比较完整且全面,可视为增强网络安全架构的基石。
对此,查士朝表示,随着现在远端工作的议题,企业在考量远端工作时,顺便朝ZTA架构发展,其实是不错的时机点,但还是要看企业本身是否真的想强化网络安全。他另提到的是,美国国防部发表网络安全成熟度模型认证CMMC,此议题也很值得重视,是更具强制力的作法。
而对于台湾ZTA的发展现况,徐富桂表示,他在2020年举行的RSA大会上,已经看到不少厂商都有ZTA解决方案,国外这方面的发展算是趋于成熟,不过,他认为,台湾企业对于零信任网络安全的认知,目前是相对比较不足。
至于是否已有台湾企业开始朝ZTA迈进?徐富桂表示,已听闻少数新竹的中小企业开始这么做。
由于迈向零信任,并不是一步到位,究竟要花多久时间才能达到这样的终极目标?这并没有普遍的答案,就现阶段而言,该如何着手,是有意导入ZTA的企业可关注的焦点。
基本上,NIST SP 800-207已提供导入的步骤,当中提到企业可以先从评估开始,而就现阶段而言,我们如果要开始实践ZTA,有那些需要注意的地方?
戴夫寇尔首席执行官翁浩正表示,ZTA的重点可先放在资安管理:先清查有那些资产,再来做管理面的盘点,该公司事业发展经理锺泽华强调,在盘点过程中,还有个容易忽略的重要观念,那就是,必须要掌握业务单位的资料流,以了解现有的工作流程能否跟ZTA结合。
对此,奥义智慧陈仲宽同样指出这方面的重要性,他认为,了解企业资料怎么被应用相当重要──因为,企业过去较少针对存取路径的盘点,厘清之后,才能知道要在那些地方部署存取管控点,以监控到所有资源存取。而且,除了考量使用者的存取,现在企业内部有很多工作流程,其实是机器在执行存取行为,这同样要纳入考量。
综合上述说法,我们可以发现,企业在初期迈向零信任时,资料流的盘点可能是一大挑战。
零信任是一段旅程,企业须重新思考如何做到更严谨的资料存取控制
无论如何,零信任的网络安全策略,已经成为当今一大趋势,能够解决内网预设信任、降低资料外泄等问题,但要达到终极目标,也将面对一些挑战,毕竟,从现有的边界防护策略过渡到零信任网络安全策略,也需要渐进的导入过程,也难怪资安界常说推进到零信任将是一段旅程。
从攻防角度看零信任网络安全
企业该如何看待零信任网络安全策略?奥义智慧资深研究员陈仲宽表示,若对照安全模型Cyber Defense Matrix(CDM)的框架而言,零信任架构有助于整个识别与保护面向的强化。(图片来源/奥义智慧)
面对零信任网络安全,不只是降低资料外泄、解决内网预设信任等问题,从防御与攻击角度来看,也是资安与IT单位可延伸探讨的议题。
以防御观点而言,奥义智慧资深研究员陈仲宽表示,从安全模型Cyber Defense Matrix(CDM)来看,在这个5乘5的矩阵中,零信任所涵盖的范围,可说是整个识别与保护的面向,包含了装置、应用程序、网络、资料与使用者的范畴。他并指出,过去几年,资安韧性已成为许多研究单位重视的一环,其中NIST SP 800-160 Vol. 2 也陈述了如何从系统设计的层面,从早期就加强资安韧性。但所提的技术繁杂,有些互相呼应,有些相互冲突。而零信任架构则是在“没有隐性信任(Implicit trust)的主轴”下,可以实作资安韧性的方式。
而从攻击者角度而言,零信任网络安全也需与其他资安议题呼应。戴夫寇尔首席执行官翁浩正指出,在很多攻击事件或演练经验中,攻击方会绕过身份验证机制,依此思考模式,因零信任导入的机制,是否也可能成为骇客的新目标;同时,还要注意零信任实作面不足的情况,或是ZTA所信任的PEP可能被攻破,这些风险面将是管理上与软件供应链等资安议题的范畴。
相关报导
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- 淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
- 哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
- 白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
- 北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步2024-06-28 09:27:13
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15