• 首頁
  • 最新消息
  • No.010 如何導入「零信任網路架構」,您必須知道的幾件事

電子報

No.010 如何導入「零信任網路架構」,您必須知道的幾件事

四, 08/18/2022 - 13:58


零信任網路架構,已然成為網路架構設計的顯學,連美國國家標準暨技術研究院(NIST)都在2020年8月也發布了SP 800-207標準文件,探討並說明如何建立零信任架構(Zero Trust architecture,ZTA)。

然而,多數資安大廠都是引用SP 800-207標準文件中的部分原則,襯托自身產品的特色,並未完整闡述該如何從既有網路環境,逐步漸進的強化各項措施,從而建構起完整的零信任網路架構!

零信任網路架構,有哪些部署方式

依據 NIST在SP 800-207標準文件中所概述,零信任網路的部署架構有多種方式,企業可依據自身情況不同與業務需求來採用,甚至在同一個企業中的不同業務流程,有可能會使用多種部署方式來建立零信任網路架構!

● 以資源為基礎的部署方式

在此部署方式中,PEP 分為兩個組件,它們安裝在資源上或作為直接位於資源前面的組成元件。例如,企業提供服務的資源都有一個已安裝的 Agent來協調連接,每個資源都有一個直接放置在前面的元件(即網路閘道設備),以便資源僅能與網路閘道設備連線。

● 以控制區域為基礎的部署方式

此部署方式是上述部署方式的變體。在此架構中,網路閘道設備可能不部署在單個資源的前面,而是部署在資源的邊界(例如:資料中心對外的連接處)

● 以閘道器Portal為介面部署方式

在此部署方式中,PEP 是單個組件,充當資源存取者的網路閘道設備。網路閘道 Portal可以用於單個資源,也可以是用於單一服務功能的安全區域。與其他部署方式相比,此方式的主要優點是不需要在所有客戶端設備上安裝軟體工具。

● 應用程式沙箱部署方式

另一個部署方式的變體是讓經過審查的應用程式或流程在裝置(伺服器)上分開執行,分開的方式可以是虛擬機、容器等。保護應用程式免受可能遭受攻擊的主機或裝置上執行的其他應用程式的影響。

零信任網路架構中,有哪些要注意的威脅

沒有企業可以消除網路安全風險,在與現有的網路安全政策和指南、身份和存取管理、持續監控和一般網路衛生相輔相成時,正確部署和維運的「零信任網路架構」 可以降低總體風險並防止常見威脅。然而,零信任網路架構並非萬能,還是有一些威脅是在部署零信任網路架構時,必須先行注意與防護。

 

● 資安政策與權限配置的衝突

零信任網路架構中,策略引擎和策略管理員是整個架構的關鍵組成元件,這也意味著必須正確的設置與維護其相關的政策與規則,以避免因設置的疏忽,造成權限的意外開放,允許存取不被批准資源。

● DoS或DDoS攻擊

如果駭客透過 DoS/DDoS攻擊造成用戶無法對 PEP 或 PE/PA 的存取(即 DoS 攻擊或路由劫持),則可能會對企業運營產生不利影響。企業可以通過將策略執行部署在強化防護的雲環境中或在多處建立備援機制來減輕此類威脅。

● 憑證盜取及帳戶冒用

駭客可能會使用網路釣魚、社交工程或組合攻擊來獲取有價值帳戶的憑證。為減輕此類風險,導入多因素認證 (MFA) 機制是有效降低此類風險的方案。另外,零信任網路架構因其本質即為預設不信任、授予最少可使用權限等特性,可防範帳號被竊取後在整個網路中橫向移動的情況發生。

● 網路行為可視性

無法執行深度資料封包檢查或檢查加密流量,必須使用其他方法來評估網路上可能的惡意行為。企業可以收集有關加密流量的資料(例如,來源地址和目標地址等),並使用它來檢測網路上的活躍攻擊者或可能的惡意軟體連線行為。機器學習技術可用於分析無法解密和檢查的流量。使用這類的機器學習將讓企業能把流量區分為安全或疑似惡意的行為,並採取相應的防護措施。

● 系統與網路的相關資料保護

對企業監控和網路流量分析的一個相關威脅是分析設備本身。如果儲存網路流量和元資料 (metadata) 以用於建構上下文關係、蒐證或後續分析,則這些資料將成為攻擊者的目標。就像網路架構圖、系統設置文件和其他各種網路架構檔案,這些資源也應該受到保護。如果駭客能夠成功取得這些資訊,他們將能夠深入了解企業架構並識別資產以進行進一步的偵察和攻擊。

對於所有有價值的企業資料,都應採取適當的保護措施,以防止未經授權的存取和存取嘗試。由於這些資源對安全至關重要,它們應該具有最嚴格的存取策略,並且只能從指定的或專用的管理員帳戶存取。

● 依賴獨家資料格式或解決方案

因營運上需要,企業有可能採用非通用開放標準之各項設備,而這可能導致企業由於用戶使用習性或種種因素,而被鎖定在特定供應商的情況。如果此供應商出現資安問題或服務中斷,企業可能無法轉換到新的供應商,或是必須付出極高的成本或經歷一個漫長的轉換過渡期。

為降低相關風險,企業應考慮供應商安全控管、企業轉換成本和供應鏈風險管理等因素,以及性能、穩定性等更典型的因素,對服務提供商進行整體評估。

● 在零信任網路使用非人類的管理工具

部署人工智能和其他軟體 Agent來管理企業網路上的安全問題,已逐漸成為企業因應人力資源不足的應變作法。這些元件需要與零信任網路架構中的管理元件(例如,策略引擎、策略管理員)相互溝通,有時甚至會代替 IT管理人員。這些元件如何進行身份驗證是一個懸而未決的問題。例如:大多數自動化技術系統透過使用 API 方式進行系統間的溝通與協作,此時系統間的身份驗證方式,就很容易因設置不當而給予過多的權限。

與人類用戶相比,Agent程式在執行管理或安全相關任務時,可能採用較低的身份驗證標準(例如,API 密鑰或不使用 MFA 機制)。如果駭客可以與 Agent程式進行互動,理論上駭客可以欺騙 Agent程式以獲得更大的存取權限或代表駭客執行某些任務。還有一個風險是駭客可以存取Agent程式的憑證並在執行任務時偽裝成Agent程式。

 

天鉞科技助您導入零信任網路架構

零信任架構的部署包含了各種不同的元素。有些或許是位於企業內部的服務,有些則可能是雲端上的服務,且涉及許多架構的調整規劃、資安政策的重新檢視與配置等。

天鉞科技身為專業的IT服務廠商,我們不僅在系統、網路及資安等領域皆具有多年的豐富經驗,更是投入許多人力、物力在協助客戶逐步建構完整的零信任網路架構,獲得眾多好評。

我們能依照您的現況與切合未來營運的重心,為您擬定切實可行的「零信任網路架構」導入行動方案,讓您的資訊安全逐步強化,建構完善的安全防護金鐘罩!