解決周邊問題
透過 Zero Trust 超越傳統安全
對現代企業來說,傳統的周邊安全時代已經結束。部分原因是傳統的工作方式已經改變。現代員工可能一週內,同時在小分支辦公室、飛機上、家庭辦公室、咖啡廳,甚至客戶辦公室等不同場所工作。
大多數技術領導者都認識到,Zero Trust 安全性是傳統企業保護方法的最佳替代方案。Zero Trust 安全性以身分為中心並實施持續驗證,能夠確保無論使用者身在何處、使用何種裝置,組織都能有效保護資源。透過轉向 Zero Trust 模式,組織能夠解決傳統周邊防禦的根本性限制。
然而,許多公司尚未實現這一目標。事實上,許多公司在 Zero Trust 之旅中走得並不遠。若以一到十分來評估進展程度?「我會說大約四分,」網路安全平台 Milestone 的執行長暨共同創辦人、同時也是 Cytactic 合夥人的 Menny Barzilay 表示。至於我個人,我認為最多也只到六分。
我最近與 Menny Barzilay 以及 Cloudflare 美洲地區現場資訊長 Khalid Kark 針對傳統周邊防禦問題進行了討論。我們談到了《2025 年 Cloudflare 趨勢觀察報告》中所強調的傳統周邊防禦架構所存在的弱點,也探討了轉向 Zero Trust 模式如何有助於解決這些問題。
我們一致認為:在當今威脅環境下,持續推進 Zero Trust 旅程對於保護企業至關重要。但這不僅僅是購買一套解決方案就能實現的。
用基於身分的安全取代周邊
在組織過渡到新的安全模型之前,瞭解其起源至關重要。多年來,組織的網路安全工作重點是保護其網路周邊,這與公司辦公室的實體邊界基本一致。他們使用內部部署資料中心的防火牆來保護網路週邊。
如今,組織的擴展範圍已遠遠超出了其實體辦公室。員工使用基於雲端的應用程式在任何地方辦公。正如 Menny Barzilay 所說:「在當今現實中,周邊是一個非常值得懷疑的概念。」
網路安全領導者不應像守護有護城河的城��堡一樣守護組織,而應建立一個全新的模型。大多數人都認為,身分認證是這個模型的關鍵。當然,這並非僅僅驗證使用者身分那麼簡單。組織需要為每個存取請求增添額外的上下文資訊,以及使用者的裝置狀態。
如果正確部署這種模型,就會帶來巨大的安全回報。「有一種說法是,如果你能解決身分問題,就能解決網路安全問題,」Barzilay 說,「如果你知道正確的人正在正確的裝置上使用正確的資料……那麼就不會有網路安全問題。」
解決身分問題是實作 Zero Trust 網路安全模型的主要目標。該模型的核心原則是:從不信任,始終驗證。Zero Trust 並非信任每一個跨越城堡「護城河」的人(並授予他們對所有資源的存取權限),而是假設網路內部和外部都存在風險。Zero Trust 工具會在授予對特定資料和應用程式的存取權限之前,驗證使用者、環境和裝置。
正如 Khalid Kark 在我們最近的討論中所指出,Zero Trust 並非單一、特定的解決方案:「這其實是一種思維模式。」Menny Barzilay 也認同這一觀點:「重點在於理解並承認,你不能『從設計上就信任任何事物』,你必須驗證一切。」
我也認為 Zero Trust 是一段旅程——從哪裡開始幾乎並不重要。但大多數組織都是從識別最棘手的場景開始的。
「如果你能解決身分識別問題,你就能解決網路安全問題。」
— Menny Barzilay
Milestone 的 CEO 兼共同創辦人,以及 Cytactic 的共同創辦人兼合夥人
確定第一個目的地:找到 Zero Trust 的關鍵使用案例
Zero Trust 安全模型可以幫助您應對因混合式工作和雲端資源的迅速增長而產生的一些最緊迫的威脅。例如,您可以替換過時的遠端存取解決方案、控制影子 IT,並簡化使用者的安全性。
1. 取代傳統的 VPN
攻擊者知道,只要他們能從單一使用者處竊取 VPN 認證,就能取得對企業網路的廣泛存取權限。過渡到以身分為中心的 Zero Trust 安全體係有助於解決這個嚴重問題。借助 Zero Trust,您可以強制執行使用者持續驗證,並在雲端工作負載和軟體即服務 (SaaS) 應用程式之間實施上下文驗證。即使攻擊者仍設法遠端存取您的網路,最低權限存取功能也能限制滲透範圍,防止橫向移動。
用 Zero Trust 安全性取代 VPN 還帶來了額外的好處:使用者在連接資源時將享受到更順暢、更低延遲的體驗。與擴展 VPN 解決方案相比,您還可以更快速、更經濟地擴展 Zero Trust 存取的使用。您的 IT 團隊還可以降低管理遠端和混合存取的複雜性。
2. 控制影子 IT
雲端服務提供者讓採用新服務(包括 AI 服務)變得異常簡單。但�結果卻是,個別員工和團隊經常在未諮詢 IT 部門的情況下就註冊了這些服務。這種影子 IT(或稱為影子 AI)使得監控和保護雲端應用程式及雲端環境變得越來越困難。即使是使用簡單的雲端協作工具,也可能使敏感資料面臨風險。
實施雲端存取安全性代理程式 (CASB)、AI 支援的探索工具和自動化原則實施作為 Zero Trust 安全性的一部分,可以協助您獲得對未經授權使用雲端服務的即時可見度和控制。
3. 結束密碼時代
即使攻擊者使用 AI 來實施更複雜的策略,身分仍然是主要的攻擊手段。正如報告所指出的那樣,2024 年第 1 季,Cisco 處理的安全事件中,有 25% 與使用者誤信詐騙性的多重要素驗證 (MFA) 推送通知有關。攻擊者也會以其他方式劫持作用中的工作階段並竊取認證,使企業面臨大規模資料外洩和帳戶盜用的風險。
具體而言,組織面臨多項與身分相關的挑戰:
認證再用:根據報告中對洩漏認證的分析,46% 的人類登入嘗試(以及 60% 的企業登入嘗試)涉及洩漏認證。
自動化認證攻擊:對洩露認證的分析表明,94% 的登入嘗試由自機器人使用洩漏認證進行,這些機器人每秒可以測試數千個被盜密碼。
密碼保護不足:靜態密碼甚至基本的 MFA 方法在面對現代化威脅時往往成效不彰,這些威脅包括工作階段劫持以及能繞過傳統網路釣魚防護的認證盜竊。
是時候告別基於密碼的傳統安全系統了。實施 Zero Trust 存取控制,並結合無密碼驗證、行為分析、自動認證撤銷等功能,可以幫助您應對簡單的靜態密碼和基礎 MFA 帶來的潛在風險。
確定 Zero Trust 旅程的出發點
確定正確的用例後,您應該清點並稽核您的應用程式。目標是確定哪些人已經擁有每個應用程式的存取權限,以及哪些人不應該擁有存取權限。許多 Zero Trust 之旅失敗,就是因為組織忽略了這些稽核。
此時,您可以選擇一套 Zero Trust 安全解決方案。的確,Zero Trust 更像是一種模型或理念,而非單一解決方案。然而,選擇合適的 Zero Trust 解決方案能幫助您落實所制定的 Zero Trust 原則與政策。
雖然 Zero Trust 解決方案很重要,但太多組織一開始就直接購買解決方案——結果他們的 Zero Trust 旅程就此停滯。其實,應該先做好所有準備工作,包括選定使用場景與進行稽核,這樣才能確保您投入的時間與精力,能帶來預期的成果。
對某些組織而言,這段旅程會比其他組織更加輕鬆。正如 Menny Barzilay 所說,新創公司可以從第一天起實施 Zero Trust 安全性,避免更換傳統解決方案的潛在障礙。但對於其他組織而言,針對特定使用案例(例如保護遠端存取)將幫助您獲得相對快速的成功,從而推動您的組織向前發展。
遺憾的是,大多數公司在 Zero Trust 之旅中尚未走得太遠。同時,他們必須應對 AI 的巨大潛力和恐懼。雖然 AI 會帶來一些新的障礙(例如需要管理非人類身分),但 AI 將更有效地發現威脅並自動改善組織的安全態勢。
儘管如此,Khalid Kark、Menny Barzilay 和我都一致認為,推進 Zero Trust 之旅至關重要。Zero Trust 有助於彌補邊界型解決方案的不足,同時也能大幅降低安全工作的複雜性和成本。與其管理多種工具,不如採用統一的方法來保護資源,並專注於身分。
邁向 Zero Trust
Cloudflare 的全球連通雲是一個雲端原生服務平台,可以簡化從傳統邊界安全向 Zero Trust 安全模型的轉�換。例如,使用 Cloudflare Zero Trust 網路存取,您可以取代傳統的 VPN,同時加強安全狀態,提供更好的使用者體驗,並簡化管理。Cloudflare 平台還提供各種服務,幫助您重新獲得 IT 可見度和控制力,並阻止基於機器人的身分攻擊。這些服務共同協助您推動 Zero Trust 之旅,告別傳統的邊界安全模式。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《2025 年 Cloudflare 趨勢觀察報告:大規模韌性》,深入瞭解 Zero Trust 安全性如何幫助您建立更具韌性的組織,並探索其他關鍵安全性趨勢。
作者
Steve Pascucci — @StevePascucci
Cloudflare 零信任負責人
重點
閱讀本文後,您將能夠瞭解:
為什麼基於邊界的傳統安全措施已不再足夠
Zero Trust 如何成為現代安全的當務之急
從哪裡開始您的 Zero Trust 旅程