何謂零信任資安?

歷史上,大多數組織都在以周邊為基礎的安全模型下運作。 周圍內的一切都被認為是授權和良好的,而威脅被視為來自組織外部。 部署了安全解決方案,以保護周圍並阻止外部攻擊者進入內部。

這種安全性方法有多個問題。 一個是惡意內部人士的潛在性。 另一個事實是,組織缺乏對獲得組織網路存取權限的威脅的可見性。第三,雲端、遠端工作和行動裝置的興起意味著邊界正在消失。

零信任是一種安全模型,旨在克服舊版安全策略的限制。 零信任採用「信任但驗證」的安全方法,而不是隱含信任內部人士和不信任外人。

深入瞭解 Get the Miercom Zero Trust Platform Assessment 2024

何謂零信任資安?

零信任是如何運作的?

使用舊版安全策略,大部分驗證可能是預先進行的。 使用者證明自己的身分後,就可以不受限制地存取公司網路、系統和應用程式。

零信任的工作方式是根據個案例做出存取決定。 每個使用者、應用程式、電腦等都被分配了履行其角色所需的最小存取權限和權限集。當他們提出存取請求時,零信任系統會將他們指派的權限與完成要求所需的權限進行比較,並相應地允許或封鎖請求。

零信任安全的主要優點

由於它為組織提供的眾多好處,因為零信任作為安全策略的人氣越來越受歡迎。 實施零信任安全策略的一些主要好處包括安全性、可見性和合規性。

資安保障

零信任安全性原則要求根據最低權限存取控制來評估每個存取要求。 這有助於確保請求者具有存取要求的系統或執行請求動作所需的權限。

零信任有助於增強組織的安全性,因為它降低了過多權限和攻擊者透過網路橫向移動的能力的潛在風險。如果使用者的權限受到嚴格限制,他們可能造成的損害量會受到限制。 此外,強制根據最低權限存取控制來評估所有存取要求,使攻擊者更難以橫向移動組織的系統,並在不偵測到存在的情況下達成目標。

可見性

在傳統的、以外圍為中心的安全架構中,組織的安全解決方案集中在網路外圍。雖然這有助於限制進入組織的外部威脅的數量,但這也意味著公司對該網路邊界內發生的情況的可見性有限。如果威脅不跨越網路邊界,組織的安全設備可能看不到它。

零信任安全模型將安全邊界移至每個單獨的應用程式或系統周圍。由於每個存取請求都必須得到批准或拒絕,因此組織可以更深入地了解其網路中正在執行的操作。

這種更深入的可見性對業務產生許多影響,這些不僅限於對安全性的好處。 例如,對請求、應用程式開發介面呼叫或流量的深入可見性可以幫助為組織的 IT 基礎架構的設計提供資訊。通常通訊的應用程式可能會移得更近,以最大限度地減少延遲,或者組織可能會對某些系統和組件進行升級以提高效能。

合規

公司需要承擔越來越多的合規義務。根據其運作地點以及收集和處理的資料類型,組織可能受到各種位置特定法律(例如 GDPR 、CCPA 等),以及旨在保護特定類型敏感資訊的規定,例如 PCI DSS 或 HIPAA。

通常,這些法規的主要目標是確保組織適當地保護和管理對某些類型的敏感資料的存取權。 公司透過實施特定的安全控制並證明只有授權使用者才能存取受保護的資料來證明合規性。

透過零信任安全性原則,組織能夠掌握與潛在敏感資料相關的每個存取要求。 這對於實現和證明合規性都是非常寶貴的。最低權限存取控制可偵測並阻止未經授權的存取這些資料的嘗試,並且可在需要時向稽核員和監管機構提供詳細的存取記錄,以證明未發生未發生未經授權的存取。

零信任安全原則

零信任安全模型基於一組核心原則建立。 實施零信任安全性的一些主要原則和工具包括以下內容:

  • 強度驗證:零信任可透過套用存取控制來限制使用者存取權限,以使用者存取其角色所需的內容。 強式身分驗證(使用帳號驗證 (MFA)、單一登入(SSO) 或類似工具)對於證明使用者身分並套用正確的權限和特權至關重要。
  • 明確信任:持續驗證身分,而不依賴單一時間點驗證。
  • 最小權限:最小權限原則位於零信任安全模型的中心。 它指出使用者只能擁有其角色所需的最低權限。 消除過多權限可限制使用者對組織造成的風險。
  • 安全性分段:零信任安全模型指出,每個存取要求都應根據最少權限存取控制來評估。 為了達到這一點,必須確保所有請求都通過能夠執行和執行此評估的安全設備。 宏觀、微觀和奈米分段將每個應用程式或系統置於自己的信任邊界後面,要求對每個請求應用零信任存取控制。
  • 假設漏洞:假設系統已遭到侵入的情況下,主動和即時安全操作。
  • 自動化和編排:有效的零信任系統可以在整個組織的 IT 基礎架構中實施精細的安全性,同時保持可用性。實現這些目標需要自動化和協調,才能大規模實施和管理零信任安全程序。

什麼是零信任架構?

信任架構將零信任的原則實踐。 它使用下列技術來確保根據個案例評估存取要求:

  • 身分與存取管理(IAM):管理與網路上各種使用者和系統帳戶關聯的權限。
  • 多重身份驗證 (MFA):實作強大的驗證,以將用戶與其帳戶和相關權限匹配。
  • 端點/裝置保護:保護端點免受惡意軟體和其他可能危及使用者帳戶的威脅的侵害。
  • 零信任網路訪問(ZTNA):基於最低權限安全策略提供對企業、網際網路和軟體即服務資產的遠端存取。
  • 安全分段:實現細粒度的信任邊界,透過在資料中心、混合雲、微服務或軟體即服務等不同環境中實施巨集、微觀和奈米分段來評估存取控制。
  • 基礎設施授權管理:它涉及設定策略和控制,以確保使用者擁有適當的權限和特權來存取公有雲端中的這些資源,同時防止未經授權的存取和潛在的安全漏洞。
  • Workload protection它涉及實施各種安全措施,例如存取控制、身份驗證、加密和監控,以確保惡意行為者或事件不會損害工作負載。
  • CI/CD 安全:這意味著確保使用者或處理程序只有在 CI/CD 管道中執行其角色的必要權限。 例如,開發人員可能需要存取原始碼儲存庫和建置系統,但不需要存取部署程式碼的生產環境。
  • 可見性與分析:提供企業網路活動的可見性並識別潛在威脅。
  • 自動化和協調:通過自動化安全流程並協調使用中的各種安全工具和技術,組織可以更好地檢測和回應潛在的安全威脅,同時降低人為錯誤的風險並改善組織的整體安全狀態

零信任安全策略:要遵循的主要步驟

從傳統、以周邊為重點的安全模型轉換為零信任似乎很複雜。 但是,組織可以按照下列步驟來完成轉移:

  1. 了解業務需求和要求。
  2. 識別表面攻擊。
  3. 繪製交易流程。
  4. 建構專有的零信任架構。
  5. 制定獨特的零信任政策。
  6. 監控和維護系統(隨著時間的推移優化)

如何實施零信任安全策略

在設計零信任安全策略之後,組織需要將其實施。 實作零信任的一些最佳做法包括以下內容:

  • 部署網路覆蓋:可以使用軟體定義的邊界(SDP) 來實現零信任。透過在軟體中定義資料流程和控制項,組織可以進行變更,而無需重大重新佈線。
  • 使用基於主機的模型:員工可以透過網路連接到各種系統和應用程式。以主機為基礎的模型以可用且可擴展的方式控制存取。
  • 實施加密:加密演算法是管理敏感資料存取的有效手段。加密靜止和傳輸中的資料,並限制對解密金鑰的存取。
  • 利用 Kubernetes: Kubernetes 是一個容器編排平台,可在所有雲端環境中運作並實現深度可見性和控制。這使其成為在複雜的多雲環境中實現零信任的理想工具。
  • 在可能的情況下自動化:零信任提供非常精細的保護,可能很難大規模管理。 在可能的情況下使用自動化對於構建可用、可持續性和可擴展的系統至關重要。

Check Point Infinity 如何實現零信任

零信任安全模型只有在組織實際執行時才有效。 如果攻擊者可以逃避或繞過最低權限存取控制,則它們不會為組織及其 IT 資產提供真正的保護。 下一步是識別組織現有安全架構與有效的零信任架構之間的差距,並找出零信任解決方案來彌補這些漏洞。

確定您的組織現有的由 Check Point Software 提供的 Infinity 全球網路安全服務 的 零信任成熟度 部分。然後,請參閱此 ZTNA 買家指南中了解如何為遠端員工彌補這些差距。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明
好的