零信任認證是一個嚴格的資訊科技保安模式,它限制權限,並要求每位用戶進行適當認證,無論他們是網絡的一部分還是位於外部。
目錄
零信任認證將所有人視為平等風險。傳統資訊保安模式一般會在網絡中自動信任用戶,只將外部用戶視為潛在威脅。然而,內部用戶及帳戶亦可能會遭到入侵,因此不應自動得到信賴。
透過採用零信任認證方式,公司可以限制風險、保護重要資訊,並節省與違規相關的成本。
零信任認證如何運作?
零信任認證採用嚴格原則來限制用戶權限及提升網絡保安,包括:
- 身份驗證:用戶必須先經過徹底的認證,才能獲得網絡的存取權限。驗證步驟可能包括多重認證、強化密碼要求或指紋掃描等生物特徵辨識。
- 最低特權原則(PoLP):最低權限原則是為用戶提供所需的最低存取權限以完成工作,限制用戶自由繞過網絡,以及限制存取不應被有關用戶查看的資訊。
- 內部用戶零信任: 與傳統的保安方式不同,零信任認證實施於內部用戶,而不只是外部用戶,以持續維持保安及減低風險。
- 微區隔: 微區隔將網絡分成多個小分段,從而更容易限制授予每位用戶的權限,並防止網絡周圍出現未經授權或不必要的移動。
- 持續監控: 透過隨時監控網絡及用戶活動,可立即偵測及調查可疑活動。
- 存取控制政策:零信任認證政策廣泛且實時演變,並盡可能保持最新狀態,以最大程度提高工作效率及網絡保安。
- 加密: 加密每個存取點的資料有助確保即使出現違規事件,未經授權的用戶仍然無法讀取資料。
- 自動化及人工智能: 透過自動化及人工智能功能加強零信任認證,可簡化網絡保安團隊的持續監察,並大規模進行更深入分析,以盡快偵測風險。
零信任認證與傳統保安方法有何不同?
傳統的網絡保安權限及監控,讓用戶擁有基本的信任,並驗證授權。雖然相對容易實施,但這可能是高風險的,因為向所有網絡用戶授予基本權限,意味著有些人可以存取他們不需要的數據和資源,這可能導致安全漏洞。
隨著機構已轉向更遠程及雲端網絡系統,網絡保安已變得更加複雜,而更敏感的資料亦會被存取及入侵。零信任認證將每位用戶視為潛在威脅,消除基本的信任水平,從而限制了不當存取。
透過零信任認證,機構會根據用戶的角色及工作要求為每個用戶或用戶特定權限類別作出分配,並按需要更新。如果用戶無法存取敏感資料,則不會構成曝露風險。
為何使用零信任認證?
採用零信任認證方式,可減低您公司被惡意用戶攻擊及曝露的風險。此外,傳統的信任式保安措施通常只會在入侵發生後才被發現,可導致數百萬美元的損失或破壞,並損害業務運作。零信任認證是一種更加主動的保安形式,以預防入侵為主。
零信任認證框架可處理以下威脅:
- 以身份及程式碼為目標的勒索程式。如果有帳戶被入侵,零信任認證可以確保對方安全。
- 裝置攻擊——利用遠端裝置的漏洞。由於零信任認證對驗證身份的要求嚴格,因此裝置更安全。
- 內部威脅——惡意用戶可以通過這些威脅存取和洩露特權資訊。零信任認證可追蹤所有用戶行為,並發現可疑活動,因此您可以盡快回應漏洞,甚至在發生漏洞前加以攔截。
零信任認證的基本前提是,預先假設每個人都是一個威脅,這總比發生安全事故時作出反應更高效及更安全。
如何實施零信任認證
在轉換至零信任認證框架時,重要的是要設定您的資訊科技及保安團隊及用戶,以取得成功。這意味著您需要:
- 評估及組織: 全面了解您的機構,並分析在各個層面的運作方式。評估用戶如何存取資訊、存取哪些資訊及由誰存取。審查現時取得存取權的安全措施。辨識敏感資料。利用此分析,了解業務保安及存取措施方面需要改變的事項。
- 建立分類:根據資訊敏感度將資訊分為不同級別。根據用戶所需的存取權限級別,為用戶創建不同的分類。繼續根據用戶目前的任務及職責重新評估哪些用戶需要存取甚麼資料。
- 分拆及再次分拆: 將您的存取類別盡量細分為最小的分類,以確保用戶無法查看工作不需要的資訊。為每個單一用戶自訂及調整權限。
- 精準管理: 使用身份管理工具,例如多重要素識別、複雜的密碼或生物特徵識別來驗證試圖存取資料的用戶。建立系統來評估用戶職能,並確保其存取級別僅反映所需資料。始終從盡量少的存取權限開始。
- 監控和分析: 實施持續監控,以追蹤用戶存取哪些資訊。建立完整的協定讓用戶遵循。這樣,您可以確保用戶遵守公司的存取政策,並即時發現任何可疑行為或潛在安全威脅。
- 保護: 建立嚴格的保安政策並持續執行。這些政策應按需要重新評估和更改,以確保它們盡可能更新和有效率。
- 提昇保安: 即使是在資料外洩之後,依然會使用資料加密工具來保護敏感資料。
- 培訓用戶:向用戶傳授及重溫機構政策及協定,讓他們了解如何使用安全存取方式及識別可疑的網絡存取行為。
- 不斷測試:經常測試您的身份工具、存取障礙及安全措施的有效性。根據需要調整。
- 合併內部和外部: 使用零信任認證原則作為內部及外部用戶的預設值。建立協定,以允許外部用戶存取。
- 回應及維修: 制定嚴格的計劃來識別及回應威脅與違規事件。
遵循零信任認證原則是一項持續的任務。非常重要一點是,確保機構的網絡保安政策及協定會因應特定需要而度身訂造,並清楚告知所有可能存取網絡的用戶。堅定的原則和清晰的理解有助機構盡可能實現零信任認證。
零信任認證的挑戰是甚麼?
採用零信任認證的企業面對的主要挑戰往往圍繞以下問題:
- 通常需要深入研究才可全面了解公司的網絡、分類資源、確定存取級別及創建適當政策。
- 更複雜的存取通訊協定會為用戶造成工作上的障礙。
- 將交換器轉換為零信任認證可能會暫時中斷現有工作流程。
- 員工可能會抗拒「不被信任」的文化轉變。
- 較舊的網絡技術可能更難整合。
- 在機構預算方面,轉換系統及投入資源進行持續監控與重新評估政策的成本可能具有挑戰性。
- 確保企業的零信任政策符合行業法規可能是一個障礙。
零信任認證是否符合業界標準?
是。美國國家標準與技術研究院(NIST)及 ISO 等機構均已設定標準,認為任何存取網絡的用戶都應該使用多重認證進行驗證,以確保企業盡可能安全。多重認證只是零信任認證使用的眾多工具之一,以確保身份根據行業標準得到徹底及持續驗證。
我可以在哪裡獲得零信任認證的協助?
Trend Vision One™ – Zero Trust Secure Access (ZTSA) 是一個現代化的存取管控方案,可持續在數碼產業驗證用戶身份及裝置可信度。ZTSA 提供即時政策執行、風險導向決策及統一視野,讓您安全存取應用程式、雲服務及生成式人工智能工具。透過整合 Secure Web Gateway (SWG)、Cloud Access Security Broker(CASB)及 Zero Trust Network Access(ZTNA),ZTSA 協助機構在單一平台執行最低限度的存取、減低對 VPN 的依賴及控制生成式人工智能風險。
Jayce Chang 是產品管理副總裁,專長於保安運作、XDR 及 Agentic SIEM/SOAR。
常見問題
甚麼是零登入認證?
零登入認證是一種驗證用戶的方式,在登入網絡時不需要用戶名稱或密碼。
VPN 與 ZTNA 有何不同?
VPN 為授權用戶提供廣泛的網絡存取,而 ZTNA(零信任網絡存取)只授予存取小型、必要的資源子類別的權限。
甚麼是身份驗證的例子?
使用用戶名稱及密碼登入、掃描指紋及安全 PIN 碼均為驗證方法。
SSO 與 OAuth 有何不同?
OAuth 是一個授權框架,讓第三方應用程式在無憑證的情況下存取資源。透過 SSO,用戶需要登入才能進入系統並存取應用程式。
OAuth 為何不進行認證?
OAuth 會向用戶授予存取權,但不會驗證用戶的身份。
ZTNA 的三大驗證支柱是甚麼?
ZTNA(零信任網絡存取)的三大支柱是最低存取權限、始終驗證及風險緩解。
零信任的第一部分「驗證身份及情境」內主要關注的三個領域是甚麼?
三個重點領域是:引發者是誰、聯繫屬性以及引發者嘗試去哪裡。
信任模式的三大支柱是甚麼?
能力/才幹、誠信及善意/關懷是信任保安模式的三大支柱。
零信任的五大支柱是甚麼?
零信任模型的五大支柱是:身份、裝置、網絡/環境、應用程式工作負載及數據。
何謂真正的零信任例子?
醫院採用零信任來保護病人記錄,並遵循行業私隱標準。Office 365 等雲服務採用零信任原則,例如多重認證來驗證身份及保護資料。