趨動資訊進化的先鋒 -
最懂 VMware / NetApp 的頂尖專業團隊

近年來，在各種駭客攻擊事件後，零信任概念逐漸受到重視，不僅許多資安專家、廠商都在提倡，零信任架構是一種持續演進的概念，目前尚無任何認證或實際的標準可供遵循。美國國家標準暨技術研究院（NIST）在2020年8月也發布了SP 800-207標準文件，探討並說明如何建立零信任架構（Zero Trust architecture，ZTA）。

本文所謂零信任架構，皆是依據 NIST 發佈的SP 800-207標準文件來加以闡述，且由於篇幅較長，將分為上下二篇來說明！

什麼是零信任呢

零信任的主要精神是：專注於資源保護的網路安全模式，其前提是信任必須不斷評估且隨時修正！而零信任架構 (ZTA) 則是基於零信任原則的企業網路安全架構，旨在防止資料洩露並限制內部橫向移動！

零信任架構的基本原則

● 將所有資料和服務都視為資源

現在的網路是由許多不同類型的裝置和服務所構成，軟體服務 (SaaS)、雲端服務等，以及可存取企業資源的個人裝置，都應納入零信任的範疇之內。

● 無論網路連線裝置的所處位置為何，都必須確認安全。

傳統的邊界防護僅靠一道門來把關想要存取企業資源的使用者。使用者只要通過認證，就能存取各式各樣的企業資產。但這樣的作法也為駭客開了一道方便之門。一旦駭客進入了企業，他們就能在內部網路四處遊走，順便安裝各種惡意程式和勒索病毒。

● 對於個別企業資源的存取要求，應該要以每次連線為基礎去許可

給予存取權限時，應只提供執行工作所需的最低必要權限

● 對資源的存取應做到動態決定

每次給予授權時，都必須依據用戶端身份、應用服務，以及要求存取之設備狀態 (例如安裝的軟體版本、安裝的憑證) 等不同而動態調整之相應權限。

● 監控所有資產的完整性與安全狀況

沒有任何資產是天生可信賴的，必須藉由一套持續監控系統在某項資源請求期間評估資產的安全狀況，並將個人裝置也納入考量！原因在於，原本已經通過安全檢測的伺服器，很可能因為某個漏洞的揭露或因為某個小元件 (例如某個開放原始碼函式庫) 稍有變動而瞬間陷入漏洞攻擊的危險。

● 在允許存取之前，所有資源的身分鑑別與授權機制，都要是依監控結果動態決定，並且嚴格落實

使用動態原則在連線過程當中持續掃描、評估威脅、做出調整，然後再重新評估是否繼續信任。建置一套身分、登入憑證與存取管理系統 (ICAM)，包括對適用的資源套用多因素認證 (MFA) 機制。

● 企業應盡可能收集有關資訊資產、網路架構、骨幹，以及通訊的現況，並用這些資訊來增進安全狀態

收集、分析與儲存資產安全狀況、網路流量，以及存取請求等資訊，可運用大數據分析工具，來作為強化安全防護的重要依據。

 

零信任架構有哪些組成元件呢

零信任架構的部署包含了各種不同的元素。有些或許是位於企業內部的服務，有些則可能是雲端上的服務。您必須認知到，您所建置的任何一套零信任架構都需要時間來部署。在這段期間，很重要的就是要教育所有相關人員，讓他們了解各個環節，並且傳達零信任是一項持續的工作，沒有明確的開始和結束。

專家強調，沒有一種零信任基礎架構對所有企業都通用。因為每家企業都不同，所以適合的零信任架構也不同。除此之外，零信任基礎架構通常是一系列較小的基礎架構現代化專案慢慢累積而成，很少有所謂最理想的零信任模型存在。

▲NIST 文件提供的零信任架構示意圖

核心組成元件說明

政策引擎（PE, Policy Engine）：負責最終決定授予給定主題的資源存取權限。

政策管理（PA, Policy Administrator）：根據 PE 的決策來建立或關閉通訊。

政策落實點 (PEP, Policy Enforcement Point)：該系統負責啟用、監控和終止連線。

 

配套組成元件說明

持續診斷與緩解系統 (CDM, Continuous diagnostics and mitigation) ：該系統收集有關企業資產當前狀態的信息，並將更新應用於配置和軟體組件。

產業規範：這可確保企業始終符合其必須遵循之法規及監管制度。

威脅情資：提供來自內部或外部來源的威脅情報，幫助策略引擎 (PE) 做出存取決策。

活動日誌：包含設備資產、網路流量、資源存取行為和其他事件等記錄，提供有關企業資訊系統安全狀況的即時（或近即時）狀態。

資料存取政策：這些是存取企業資源的屬性、規則和策略。

企業公鑰基礎設施（PKI）：該系統負責產生和記錄企業頒發給資源、主體、服務和應用程式的憑證。

身份管理系統：負責建立、儲存和管理企業用戶帳戶和身份記錄（例如 AD、LDAP）。

SIEM 系統：收集資安相關的資料以供後續分析。然後，這些分析將用於改進政策並警告可能對企業資產進行的攻擊。