APP下载

Cisco提出新信任标准,不只是强调零信任架构,供应链与资料治理的信任也要重新思考

消息来源:baojiabao.com 作者: 发布时间:2024-11-06

报价宝综合消息Cisco提出新信任标准,不只是强调零信任架构,供应链与资料治理的信任也要重新思考

数位浪潮之下,随之而来的是风险也不断演变,如今已导致技术背后安全与信任之间的关系,越来越不平衡,如何因应全球都在探讨,就在美国每年10月举办全国资安意识月前夕,Cisco提出了新信任标准(The New Trust Standard)的探讨与分享,期望扭转现今的威胁局势。

特别的是,当中以零信任(Zero Trust)的网络安全策略,作为新时代信任标准的首要关键构成,而这也可能成为日后Cisco其合作伙伴都必须朝向的目标,甚至倡议各方供应链都该重视,台湾产业势必也要关注这股潮流,尽早做好准备。

不只网络安全零信任与供应链安全,要赢得企业与客户之间的信任,需在多个层面设法提升

现在的信任失效了吗?从现实面来看,的确有很大的问题,资料外泄问题持续严重,供应链威胁更引发产业高度重视,都持续成为国际与资安界关注的焦点。为此,美国-已积极采取行动,对于零信任与供应链议题,提出国家级别的战略。例如,美国联邦倡议采用零信任原则与方法来保护资讯系统与网络,于是NIST推出《NIST SP 800-207 Zero Trust Architecture》标准文件,而在2021年5月12日,美国总统拜登签署EO 14028的总统行政命令,当中已经强调零信任与供应链安全的实践。

同时,该国的大型网络与资安厂商也早已陆续发力,例如这次Cicso提出的新时代信任标准,又在呼应此一态势。更引起我们关注的是,多年前他们已经提出网络安全的零信任架构,也将这样的概念融合于产品,而在这次新信任标准的发布中,他们并不只针对网络安全,而是在更多层面上,都提出新的信任基本要求。

根据Cisco的说明,他们之前就已采取多项行动,除了零信任架构的建立,Cisco也与供应商签订合约,要求对方也能遵守Cicso所承诺的资安与隐私标准,此外,他们公布了自家面对-索取资料的原则与方法(a Principled Approach to Government Requests for Data)的文件,以及隐私资料表(Privacy Data Sheets),当中描述自家各产品服务对于处理个人资料的方式,并针对客户常见问题提供足够详细的回答,以获取客户的信任。

这也意味着,这些议题早已受各界关注并持续进展,但如今Cisco的行动,开始将这些点、线汇整成面,建构出一个更完整的信任框架。

这样的国际态势,势必将会影响到国内企业,而这也将给予国内企业资讯长一个更宏观的思维,就是要让近年备受关注的资安议题,包括零信任网络安全策略、供应链安全与资料治理的推动,从现有的信任基准拉升到新一个水准。

关于新信任标准的意义,Cisco指出,现在要赢得客户的信任,需依赖整个组织的安全性与透明度,这里所探讨的对象,包括:产品、服务、人员、流程、道德与价值观、内部系统、供应商与承包商。如此一来,客户才能信任将资料交给你。

毕竟,若不知道环境里有什么,不了解硬件与软件是如何制造,或者没有证据表明相互连接的系统是如何做到安全,都会使我们面临风险。

显然,思科推动的新信任标准涵盖更多层面,而这当中还不只是企业内部各构面与供应商,甚至还包含了道德与价值观,尽管Cisco在此并未多作着墨,但也可看出现今信任关系的变化。

提出新时代信任标准的框架,包含5大关键要素,期望各界也能仿效

对于这个新信任标准的提出,思科全球资安产品事业部业务经理朱育民表示,这将有助于塑造产业在数位转型上的思维,可以跨出更好的一步,这个标准如同一份指引,也是一份大纲,能够分享给客户与供应商,让他们在资安行动上,有更明确的方向可以遵循,同时希望这样的概念,能让其他企业也能仿效或思考。

具题而言,这是一个关于期望与责任的框架,要让企业与客户双方都能同意新的规范,提升数位的信任关系。而这个新信任标准的内容,是Cisco从各方交流与经验所整理归纳而来,包括了客户、合作伙伴、资安产业与监管机构等,当中包含了5大关键要素,分别是:零信任架构、受信任供应链、资料治理、透明度,以及合规监管与认证。

零信任

在新信任标准的组成要素中,零信任架构(Zero Trust Architecture,ZTA),被列为第一关键。

根据Cisco的说明,在允许存取之前,对于是否安全的存取,要经过强制且基于证据的判断保证,也就是评估是否安全才可放行存取。目前,这种思维方式的转变,还处于早期阶段,但最终必须渗透到所有的系统之中。而这些系统本身的安全变化,将对提供给客户的产品与服务,带来深远的影响。

关于零信任的重要性,朱育民表示,零信任网络安全虽然提出了许多年,但大家还没有这样的意识,随着美国NIST提出SP 800-207,该国-也正在要求当地联邦-,导入零信任架构的网络安全策略,因此,不管是标准、法规的力量,都已朝向这样的趋势。他认为,这次Cisco提出的新信任标准,是一个很好的时间点,也可以重新教育客户、市场与整个产业,了解到零信任的重要。毕竟,现在企业受攻击的表面是越来越多,零信任网络安全策略将可提供过往要补足的构面。

Cisco本身也这么做,已经发展零信任解决方案。例如,他们在2019年提出对于零信任网络安全的定义,并将这样的概念融入自身。朱育民表示,在他们所提的3W零信任架构中──Workforce、Workloads与Workplace,其实就与NIST发布的SP 800-207 ZTA标准文件中,所描述的3个关键技术吻合,也就是增加的身份治理、微分割与软件定义的网络基础架构。

受信任供应链

第二个关键,是供应链风险的管理,也就是要如何相信供应商能建立一个值得信赖的供应链。这已是近年最受关注的资安威胁,供应链攻击已为全球屡屡带来严重损害,挑战也相当大。

但无论如何,现在的局势,就是客户都希望服务提供商要能了解自身产品中所有元件,并采取合理措施来检测与缓解各式资安问题。

对于供应链的议题,Cisco指出,复杂生态系统的厂商需要经过验证,才能确保最终我们销售或消费的技术的可信度,而这必须要融入供应链流程与技术本身。

至于实践上,Cisco提出6个要点,包括:防止窜改、要求供应商遵守正确的产业标准、建立信任链、在合约中建立信任,以及对于自家与其他供应商产品的整合要进行测试,并要定期执行稽核与漏洞测试。

其中,Cisco也提到了遵循产业标准,事实上,这是推动资安与零信任架构时所能采取的好出发点,他们举例,包括:资安与隐私控制的NIST 800-53,资安管理标准ISO 27001,以及云端使用安全的ISO 27018,还有隐私管理的ISO 27701等。

资料治理

第三是资料治理,其用意就是要确保资料得到适当处理与保护,只有为真正有需要的人提供存取权限,毕竟,客户都希望服务提供者能保护他们的资料,这是数位世界在信任上的基本要求,但不仅仅是如此,还要能尊重资料权利,持续抱持能符合客户与-规定的期望。

可以想像的是,将有越来越多的消费者,会考虑隐私与透明度的提供商。而资料的未来,将会朝向数位主权发展。

对此,Cisco提出3个建议,包括透过技术控制、透过合规控制,以及考虑让客户能选择资料存放资料中心的所在地区。

透明度

第四是透明度,企业要能揭露所有客户所需的资讯,必须让客户能在知情的情况下去选择。这样的精神,过往资安界积极揭露资安漏洞与资安事件时,就已经不断呼吁与强调。

关于增加透明度的方法,例如,让客户更容易得知或找到他们正在找寻的资讯,对于重大漏洞资讯应公开揭露,同时通知所有受事件影响的人,以及在-要求资料时为客户力争辩护。

合规监管与认证

最后的合规监管与认证,也就是要能证明,这是做到明确信任过程之中所必要,企业应透过独立的第三方验证,以证明对客户的承诺。

整体而言,在前面三大关键主轴之外,后面两个关键要素,也就是透明度与认证,其精神其实更是贯穿整个标准,其实两者的概念,过去其实已经不断被强调,但重要性可能被忽略,因此这次Cisco将它与零信任、供应链与资料治理,列为同等重要的要素。而从这5大方向着手,将是企业重新思考信任基准点的开始。

Cisco建议的零信任原则

●将客户体验放在首要任务,因为认证不应该是一种负担。使用者完成工作需要可以方便地存取企业内部与云端的应用程序。

●持续验证使用者、设备与应用程序是否受到信任。

●利用机器学习来识别异常用户行为的尝试登录。会有误报事件发生,因此要权衡阻止合法存取的风险。

●应用程序安全性政策的强度要与资料的敏感性相符合。这需要准确的资料分类,并要能够了解正常应用程序流量是什么样子,这样才能发现异常。

●确保不同应用程序元件之间需要安全的连接,例如应用程序逻辑与数据库。

●让入侵攻击者更难从一台服务器移动到其他服务器,使用技术包括网络分区隔离、强式的认证与加密,以及建立标记受信任的设备。

 @资料来源:Cisco,iThome整理,2021年10月

为何需要新的信任标准?

之所以提出新的信任标准,Cisco举出了一个简单的问题,你的客户可以信任将资料交给你吗?答案是,随着商业型态复杂,信任这件事已不再是建立于个人关系之上,现在客户的信任已经开始依赖整个组织的安全性与透明度,这里谈的包括你的产品、服务、人员、流程、道德与价值观、内部系统、供应商与承包商。

因此,现在所论及的信任内涵,已经变得更加全面。例如,客户是否能信任你,不仅取决于你的政策,也取决于你的供应商,甚至你的共应商的共应商;不仅取决于你的网络安全防护,并还取决于你在发生漏洞时的做法;不仅取决于你如何储存客户的敏感资料,还取决于你如何在周五下班之际面对国外执法部门的请求。

而且,现在的安全也与信任及透明度拖不了关系。Cisco说明,在什么都相互连接的今日世界中,这意味着我们已是共享风险与共享安全的态势。然而,不知道我们的环境里有什么,不了解硬件与软件是如何制造,或者没有证据表明相互连接的系统是如何做到安全,都会使我们面临风险。因此,需要信任与透明度的存在并发挥作用,才能方便我们都能集体管理风险。

2021-10-19 14:45:00

相关文章