Zero Trust 是一種安全性模型,基於維持嚴格的存取控制,預設情況下不信任任何人,即使是已經在網路周邊內的人也是如此。
閱讀本文後,您將能夠:
複製文章連結
Zero Trust 安全性是一種 IT 安全性模型,要求針對嘗試存取私人網路資源的所有人員和裝置執行嚴格的身分驗證,無論其位於網路周邊之內還是之外。ZTNA 是與 Zero Trust 架構相關聯的主要技術;但 Zero Trust 是一種整合了多種不同原理和技術的整體網路安全方法。
更簡單地說:傳統的 IT 網路安全會信任網路內部的所有人員與內容。Zero Trust 架構不會信任任何人員與內容。
傳統 IT 網路安全是基於城堡加護城河的概念。在城堡加護城河式安全中,很難從網路外部獲得存取權限,但預設情況下,網路內部的每個人都受到信任。這種方法的問題在於,一旦攻擊者獲得了網路的存取權限,便可自由支配網路內的所有內容。
公司的資料不再存放於一處,城堡加護城河安全系統中的這個漏洞因此而加劇。如今,資訊通常分散於多家雲端廠商處,使得對整個網路進行單一安全控制變得更加困難。
Zero Trust 安全性意味著在網路內部或外部預設沒有任何人受到信任,而且每個嘗試存取網路上資源的使用者都需要進行驗證。這一增加的安全層已被證明可以防止資料外洩。研究表明,單次資料外洩的平均成本超過 300 萬美元。考慮到這一數據,許多組織現在渴望採用 Zero Trust 安全性原則應該就不足為奇了。
Zero Trust 網路背後的理念假設網路內部和外部都有攻擊者,因此不應自動信任任何使用者或機器。Zero Trust 驗證使用者身分和權限以及裝置身分和安全性。在登入和建立連線後,經過一段時間就會逾時,迫使使用者和裝置不斷重新驗證。
Zero Trust 安全的另一原則是最低權限存取。也就是說,僅向使用者授予必要的存取權限,就像軍隊中的將領僅在必要之時將資訊告知士兵一樣。這樣能最大程度減少各個使用者接觸網路敏感部分的機會。
實作最低權限要求仔細管理使用者權限。VPN 並不適合最低權限授權方法,因為登入 VPN 可讓使用者存取整個連接的網路。
除了控制使用者存取之外,Zero Trust 還要求對裝置存取進行嚴格控制。Zero Trust 系統需要監控有多少不同的裝置正在嘗試存取其網路,確保每個裝置都獲得授權,並評估所有裝置以確保它們沒有受到入侵。如此可進一步減少網路的攻擊面。
Zero Trust 網路也利用微分段。微分段是一種將安全性周邊劃分為小型區域,以分別維護對網路各部分之存取的做法。例如,將檔案存放在利用微分段的單個資料中心的網路可能包含數十個單獨的安全區域。未經單獨授權,有權存取其中一個區域的個人或程式將無法存取任何其他區域。
在網路安全中,「橫向移動」是指攻擊者在獲得網路存取權限後在網路內移動。即使發現了攻擊者的進入點,也很難偵測到橫向移動,因為攻擊者將繼續入侵網路的其他部分。
Zero Trust 旨在遏制攻擊者,使他們無法橫向移動。由於 Zero Trust 存取是分段的並且必須定期重新建立,因此攻擊者無法移動到網路中的其他微分段。一旦偵測到攻擊者的存在,就可以隔離受感染的裝置或使用者帳戶,切斷進一步的存取。(在城堡加護城河模型中,如果攻擊者可以橫向移動,那麼隔離原始受感染裝置或使用者幾乎沒有影響,因為攻擊者已經到達網路的其他部分。)
多重要素驗證 (MFA) 也是 Zero Trust 安全性的核心價值。MFA 意味著需要多個證據來驗證使用者;僅輸入密碼不足以獲得存取權限。MFA 的一個常見應用是在 Facebook 和 Google 等線上平台上使用的雙重驗證 (2FA)。除了輸入密碼外,為這些服務啟用 2FA 的使用者還必須輸入傳送到另一台裝置(例如手機)的代碼,從而提供兩項證據證明他們是他們所聲稱的身分。
與更傳統的安全方法相比,Zero Trust 理念更適合現代 IT 環境。由於存取內部資料的使用者和裝置種類繁多,並且資料同時儲存在網路內部和外部(雲端),假設沒有使用者或裝置值得信賴,比假設預防性安全措施已經堵上所有漏洞要安全得多。
套用 Zero Trust 原則的主要好處是有助於減少組織的攻擊面。此外,Zero Trust 透過微分段將漏洞限制在一個小區域,從而在攻擊確實發生時將損害降至最低,這也降低了復原成本。Zero Trust 透過要求多個驗證因素來減少使用者認證被盜和網路釣魚攻擊的影響。它有助於消除繞過傳統邊界型保護措施的威脅。
而且,透過驗證每個請求,Zero Trust 安全性降低了易受攻擊的裝置帶來的風險,包括通常難以保護和更新的 IoT 裝置(請參閱 IoT 安全性)。
「Zero Trust」一詞是 Forrester Research Inc. 的一位分析師在 2010 年首次提出該概念的模型時創造的。幾年之後,Google 宣布他們已在其網路實作了 Zero Trust 安全性,這讓技術社群中越來越多人對其採用產生興趣。2019 年,全球研究和諮詢公司 Gartner 將 Zero Trust 安全存取列為安全存取服務邊緣 (SASE) 解決方案的核心組成部分。
Zero Trust 網路存取 (ZTNA) 是使組織能夠實作 Zero Trust 安全性的主要技術。與軟體定義的周邊 (SDP) 類似,ZTNA 隱藏了大部分的基礎結構和服務,在裝置與其所需資源之間建立一對一的加密連線。進一步瞭解 ZTNA 的運作方式。
任何依賴網路和儲存數位資料的組織都可能會考慮使用 Zero Trust 架構。但是 Zero Trust 的一些最常見使用案例包括:
更換或增強 VPN:許多組織依賴 VPN 來保護其資料,但如上所述,VPN 通常不是防禦當今風險的理想選擇。
安全地支援遠端工作:VPN 會造成瓶頸並降低遠端員工的生產力,而 Zero Trust 可以將安全存取控制擴展到來自任何地方的連線。
雲端和多雲端的存取控制:Zero Trust 網路可驗證任何請求,無論其來源或目的地為何。它還可以透過控製或阻止使用未經批准的應用程式,來幫助減少使用未經授權的雲端服務(一種稱為「影子 IT」的情況)。
加入第三方和承包商:Zero Trust 可以快速將受限制的最低權限存取擴展至外部各方,他們通常使用不受內部 IT 團隊管理的電腦。
新員工快速加入:Zero Trust 網路還可以促進新內部使用者的快速加入,這一點非常適合快速發展的組織。相反,VPN 可能需要增加更多容量才能容納大量新使用者。
Zero Trust 聽起來很複雜,但如果有合適的技術夥伴,採用這種安全模式可以相對簡單。例如,Cloudflare One 是一個 SASE 平台,它將網路服務與對使用者和裝置的內建 Zero Trust 存取方法相結合。有了 Cloudflare One,客戶可以圍繞其所有資產和資料自動實作 Zero Trust 保護。