Zero Trust
採用業界框架來邁向零信任之路
探索零信任框架的核心原則、NIST 800-207 指引,以及在實施 CISA 的零信任成熟度模型 (Zero Trust Maturity Model) 時的最佳實務原則。
隨著連上網際網路的裝置越來越多,傳統的資安方法再也不足以保護您數位資產的安全。要保護您的企業以防範數位威脅,您有必要建立嚴格的資安程序,並採取一些主動措施來隨時保持警戒。
何謂零信任?
「零信任」是一種假設威脅可能來自內部和外部的網路資安理念,在這樣的理念下,沒有任何使用者、系統或服務應該被自動當成可以信任,不論其所在位置是網路的內部或外部。零信任能夠提供一層額外的防護來保護機敏的資料和應用程式,唯有通過認證和授權的使用者和裝置才能獲得存取權限。此外,當發生資料外洩事件時,也能將不同資源的存取權限隔離開來,進而降低可能的損害。
您企業應該考慮採用零信任作為一種主動式防禦策略,以便更妥善地保護資料和資產。
零信任的核心基礎是由幾項基本原則所構成:
- 明確驗證。唯有在使用者和裝置通過明確的認證及驗證之後才能授予存取權限,這樣做可以確保唯有真正需要存取您企業資源的個體才能這麼做。
- 最低授權原則。僅授予使用者存取其工作所需資源的必要權限,不多也不少。這樣的存取限制可防止您企業的資料和應用程式遭到未經授權的存取。
- 假設已經遭到入侵。就當作貴單位已經遭到駭客入侵,所以得採取一些步驟來盡可能降低損害,包括:監控異常活動、限制機敏資料的存取、確保備份資料隨時更新且安全無虞。
- 微分割。將您的企業網路分割成多個較小且較容易管理的網段,個別套用自己的資安控管。如此可以降低駭客從網路的一區擴散至另外一區的風險。
- 防護自動化。使用工具和技術來將監控、偵測及回應資安威脅的流程自動化。如此可確保您企業的防護隨時保持更新,能迅速回應最新的威脅和漏洞。
零信任是一種主動有效保護企業資料和資產以防範網路攻擊和資料外洩的方法。只要把握以上原則,您的企業就能降低未經授權存取的風險,減輕駭客入侵的衝擊,同時也確保您的防護隨時保持更新、有效。
NIST 800-207 是一套網路資安框架,由美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 所提出,這套框架為企業提供了管理與防範網路資安風險的指引和最佳實務原則。
其設計上具備彈性,能適應各式各樣的企業與產業,還能隨企業與產業的特殊需求而建立屬於自己的網路資安計畫。實施這套框架有助於企業改善自身的網路資安狀況並防範資安威脅。
NIST 800-207 最重要的建議之一,就是制定政策引擎、政策管理者以及政策貫徹點。如此有助於確保政策能一致地落實,讓唯有真正需要的人才能獲得存取權限。
另一項重要的建議是實施持續的監控,並且擁有即時風險導向決策能力,這有助於讓您快速發掘及回應潛在的威脅。
除此之外,很重要的一點是要掌握及盤點不同資產與資源之間的相依性,如此可協助您確保您的資安措施確實涵蓋各種潛在的漏洞。
最後,NIST 建議將傳統的典範淘汰,例如假設某些資產或個體預設值得信任,取而代之的是一種「絕不信任、持續驗證」的方法。這樣的作法能更有效保護您組織的資料和資產,防範來自內部和外部的威脅。
CISA 所提出的零信任成熟度模型 (Zero Trust Maturity Model,簡稱 ZMM) 提供了一種評估企業零信任實施情況的完整框架。該模型涵蓋了以下關鍵領域:
- 身分管理:實施零信任策略很重要的一點就是要從身分管理著手,在任何個體存取企業資源之前都得先持續加以驗證、認證及授權。要做這一點,就需要完整的可視性。
- 裝置、網路、應用程式:維持零信任的運作需要利用端點偵測及回應功能來偵測威脅,並且追蹤裝置資產、網路連線、應用程式組態,以及漏洞。持續評估及評量裝置的資安狀態、建立參照這些風險評分的認證程序,進而確保唯有受信任的裝置、網路及應用程式可存取機敏資料與企業系統。
- 資料與治理:要讓資安最大化,企業應建立身分、裝置、網路、IoT 及雲端所需的防範、偵測及回應措施。監控舊式通訊協定與裝置加密狀態。根據風險程度套用資料外洩防護與存取控管政策。
- 可視性與數據分析:零信任策略無法在各自為政的情況下達成,全面蒐集企業內各種來源的資料,企業才能完整掌握所有的個體和資源。這些資料可搭配威脅情報來加以分析,進而產生可靠且符合情境的警報。藉由追蹤同一根源所衍生的各種事件,企業就能做出明智的政策判斷,採取適當的回應動作。
- 自動化與協調:要有效地將資安回應自動化,很重要一點就是擁有完整的資料來協調系統並管理權限,包括盤點受到保護的資料類型,以及正在存取這些資料的個體。這麼做可以確保功能、產品及服務的整個開發流程都受到適當的監督與防護。
只要徹底做好以上幾個領域的評估,您的組織就能發掘資安措施中的潛在漏洞,並且迅速採取行動來改善您整體的網路資安狀況。CISA 的 ZMM 提供了一種全方位的資安方法,讓您的組織對潛在的威脅隨時保持警戒。
Trend Vision One 能與第三方合作夥伴生態系無縫整合,並且符合業界框架與最佳實務原則 (包括 NIST 及 CISA),從防範到延伸式偵測及回應,全面支援所有的零信任支柱。
Trend Vision One 是一套創新的解決方案,能讓企業發掘自身漏洞、監控潛在威脅、即時評估風險,進而做出明智的存取控管判斷。藉由這套開放式平台,趨勢科技就能與第三方合作夥伴生態系無縫整合,包括:身分與存取管理 (IAM)、漏洞管理、防火牆、入侵與攻擊模擬 (BAS)、SIEM/SOAR 等廠商,提供一個完整而全方位的事實來源,方便您在當前的資安框架下進行風險評估。除此之外,Trend Vision One 還能搭配安全網站閘道 (SWG) 、雲端存取安全代理 (CASB) 以及零信任網路存取 (ZTNA),並且內含可攻擊面管理與延伸式偵測及回應 (XDR),全都整合到單一主控台內。
結論
今日的資安長 (CISO) 都了解,邁向零信任之路是一個漸進的過程,需要審慎的規劃、逐步的落實,以及心態上要轉變為主動採取防護與資安風險管理。了解零信任的核心原則,遵循 NIST 及 CISA 提出的指引,採用 Trend Vision One 來將零信任營運化,您就能確保自己的企業擁有強大的網路資安措施來因應瞬息萬變的威脅情勢。
想閱讀更多有關零信任的前瞻思維與研究,請點選此處。