Zero Trust 安全性 | 什麼是 Zero Trust 網路?

Zero Trust 是一種安全性模型,基於維持嚴格的存取控制,預設情況下不信任任何人,即使是已經在網路周邊內的人也是如此。

學習目標

閱讀本文後,您將能夠:

  • 定義 Zero Trust 安全性
  • 概述 Zero Trust 背後的技術和原則
  • 瞭解如何實作 Zero Trust 安全性架構

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是零信任安全性?

Zero Trust 安全性是一種 IT 安全性模型,要求針對嘗試存取私人網路資源的所有人員和裝置執行嚴格的身分驗證,無論其位於網路周邊之內還是之外。ZTNA 是與 Zero Trust 架構相關聯的主要技術;但 Zero Trust 是一種整合了多種不同原理和技術的整體網路安全方法。

更簡單地說:傳統的 IT 網路安全會信任網路內部的所有人員與內容。Zero Trust 架構不會信任任何人員與內容。

傳統 IT 網路安全是基於城堡加護城河的概念。在城堡加護城河式安全中,很難從網路外部獲得存取權限,但預設情況下,網路內部的每個人都受到信任。這種方法的問題在於,一旦攻擊者獲得了網路的存取權限,便可自由支配網路內的所有內容。

城堡加護城河安全模型,VPN 中的使用者受到信任

公司的資料不再存放於一處,城堡加護城河安全系統中的這個漏洞因此而加劇。如今,資訊通常分散於多家雲端廠商處,使得對整個網路進行單一安全控制變得更加困難。

Zero Trust 安全性意味著在網路內部或外部預設沒有任何人受到信任,而且每個嘗試存取網路上資源的使用者都需要進行驗證。這一增加的安全層已被證明可以防止資料外洩研究表明,單次資料外洩的平均成本超過 300 萬美元。考慮到這一數據,許多組織現在渴望採用 Zero Trust 安全性原則應該就不足為奇了。

文章
透過 Zero Trust 提升組織信任
指南
保護應用程式存取的 Zero Trust 指南

Zero Trust 背後的主要原則是什麼?

持續監控和驗證

Zero Trust 網路背後的理念假設網路內部和外部都有攻擊者,因此不應自動信任任何使用者或機器。Zero Trust 驗證使用者身分和權限以及裝置身分和安全性。在登入和建立連線後,經過一段時間就會逾時,迫使使用者和裝置不斷重新驗證。

最低權限

Zero Trust 安全的另一原則是最低權限存取。也就是說,僅向使用者授予必要的存取權限,就像軍隊中的將領僅在必要之時將資訊告知士兵一樣。這樣能最大程度減少各個使用者接觸網路敏感部分的機會。

實作最低權限要求仔細管理使用者權限。VPN 並不適合最低權限授權方法,因為登入 VPN 可讓使用者存取整個連接的網路。

裝置存取控制

除了控制使用者存取之外,Zero Trust 還要求對裝置存取進行嚴格控制。Zero Trust 系統需要監控有多少不同的裝置正在嘗試存取其網路,確保每個裝置都獲得授權,並評估所有裝置以確保它們沒有受到入侵。如此可進一步減少網路的攻擊面

微分段

Zero Trust 網路也利用微分段。微分段是一種將安全性周邊劃分為小型區域,以分別維護對網路各部分之存取的做法。例如,將檔案存放在利用微分段的單個資料中心的網路可能包含數十個單獨的安全區域。未經單獨授權,有權存取其中一個區域的個人或程式將無法存取任何其他區域。

防止橫向移動

在網路安全中,「橫向移動」是指攻擊者在獲得網路存取權限後在網路內移動。即使發現了攻擊者的進入點,也很難偵測到橫向移動,因為攻擊者將繼續入侵網路的其他部分。

Zero Trust 旨在遏制攻擊者,使他們無法橫向移動。由於 Zero Trust 存取是分段的並且必須定期重新建立,因此攻擊者無法移動到網路中的其他微分段。一旦偵測到攻擊者的存在,就可以隔離受感染的裝置或使用者帳戶,切斷進一步的存取。(在城堡加護城河模型中,如果攻擊者可以橫向移動,那麼隔離原始受感染裝置或使用者幾乎沒有影響,因為攻擊者已經到達網路的其他部分。)

多重要素驗證 (MFA)

多重要素驗證 (MFA) 也是 Zero Trust 安全性的核心價值。MFA 意味著需要多個證據來驗證使用者;僅輸入密碼不足以獲得存取權限。MFA 的一個常見應用是在 Facebook 和 Google 等線上平台上使用的雙重驗證 (2FA)。除了輸入密碼外,為這些服務啟用 2FA 的使用者還必須輸入傳送到另一台裝置(例如手機)的代碼,從而提供兩項證據證明他們是他們所聲稱的身分。

註冊
透過任何 Cloudflare 方案獲取安全性和速度

Zero Trust 有什麼好處?

與更傳統的安全方法相比,Zero Trust 理念更適合現代 IT 環境。由於存取內部資料的使用者和裝置種類繁多,並且資料同時儲存在網路內部和外部(雲端),假設沒有使用者或裝置值得信賴,比假設預防性安全措施已經堵上所有漏洞要安全得多。

套用 Zero Trust 原則的主要好處是有助於減少組織的攻擊面。此外,Zero Trust 透過微分段將漏洞限制在一個小區域,從而在攻擊確實發生時將損害降至最低,這也降低了復原成本。Zero Trust 透過要求多個驗證因素來減少使用者認證被盜和網路釣魚攻擊的影響。它有助於消除繞過傳統邊界型保護措施的威脅。

而且,透過驗證每個請求,Zero Trust 安全性降低了易受攻擊的裝置帶來的風險,包括通常難以保護和更新的 IoT 裝置(請參閱 IoT 安全性)。

Zero Trust 安全性的發展歷史是怎樣的?

「Zero Trust」一詞是 Forrester Research Inc. 的一位分析師在 2010 年首次提出該概念的模型時創造的。幾年之後,Google 宣布他們已在其網路實作了 Zero Trust 安全性,這讓技術社群中越來越多人對其採用產生興趣。2019 年,全球研究和諮詢公司 Gartner 將 Zero Trust 安全存取列為安全存取服務邊緣 (SASE) 解決方案的核心組成部分。

什麼是 Zero Trust 網路存取 (ZTNA)?

Zero Trust 網路存取 (ZTNA) 是使組織能夠實作 Zero Trust 安全性的主要技術。與軟體定義的周邊 (SDP) 類似,ZTNA 隱藏了大部分的基礎結構和服務,在裝置與其所需資源之間建立一對一的加密連線。進一步瞭解 ZTNA 的運作方式

有哪些 Zero Trust 的使用案例?

任何依賴網路和儲存數位資料的組織都可能會考慮使用 Zero Trust 架構。但是 Zero Trust 的一些最常見使用案例包括:

更換或增強 VPN:許多組織依賴 VPN 來保護其資料,但如上所述,VPN 通常不是防禦當今風險的理想選擇

安全地支援遠端工作:VPN 會造成瓶頸並降低遠端員工的生產力,而 Zero Trust 可以將安全存取控制擴展到來自任何地方的連線。

雲端和多雲端的存取控制:Zero Trust 網路可驗證任何請求,無論其來源或目的地為何。它還可以透過控製或阻止使用未經批准的應用程式,來幫助減少使用未經授權的雲端服務(一種稱為「影子 IT」的情況)。

加入第三方和承包商:Zero Trust 可以快速將受限制的最低權限存取擴展至外部各方,他們通常使用不受內部 IT 團隊管理的電腦。

新員工快速加入:Zero Trust 網路還可以促進新內部使用者的快速加入,這一點非常適合快速發展的組織。相反,VPN 可能需要增加更多容量才能容納大量新使用者。

Zero Trust 有哪些主要的最佳做法?

  • 監控網路流量和已連接裝置:可見度對於驗證使用者和機器至關重要。
  • 保持裝置更新:需要盡快修補漏洞。Zero Trust 網路應當能夠限制對易受攻擊裝置的存取(監控和驗證很重要的另一個原因)。
  • 為組織中的每個人套用最低權限原則:從高管到 IT 團隊,每個人都只應擁有他們所需的最少存取權限。如果終端使用者帳戶遭到入侵,這可以最大限度地減少損失。
  • 對網路進行分區:將網路分成更小的區塊有助於確保在漏洞傳播之前及早進行遏制。微分段是實現此目的的有效方法。
  • 就像網路週邊不存在一樣行事:除非網路是完全實體隔離的(很少見),否則它接觸網際網路或雲端的點就會多到根本無法消除。
  • 使用安全金鑰來實現 MFA :基於硬體的安全性權杖顯然比透過簡訊或電子郵件傳送的單次密碼 (OTP) 等軟體權杖更安全
  • 合併威脅情報:由於攻擊者不斷更新和改進他們的策略,訂閱最新的威脅情報資料摘要對於在威脅傳播之前識別威脅至關重要。
  • 避免促使終端使用者規避安全措施:正如過於嚴格的密碼要求會促使使用者一遍又一遍地重複使用相同的密碼一樣,強制使用者每小時透過多種身分因素重新進行一次驗證可能會過於頻繁,甚至會降低安全性。始終將終端使用者的需求牢記在心。

如何實作 Zero Trust 安全性

Zero Trust 聽起來很複雜,但如果有合適的技術夥伴,採用這種安全模式可以相對簡單。例如,Cloudflare One 是一個 SASE 平台,它將網路服務與對使用者和裝置的內建 Zero Trust 存取方法相結合。有了 Cloudflare One,客戶可以圍繞其所有資產和資料自動實作 Zero Trust 保護。