零信任是近幾年流行的資安話題,你可能已經看過關於介紹零信任的文章,今天就讓三甲科技再帶你重新簡單地溫習這個名詞吧!
在傳統的企業網路架構上,以往我們都是透過防火牆區隔內部與外部網路,將外部網路視為威脅進行阻隔,而內部網路則視為安全區域,不做過多的防護或認證機制。然而,倘若內部網路任何一台設備遭受惡意入侵,攻擊者很有可能藉此在內部網路橫向擴散,整個內部資料遭竊取、設備遭加密勒索或是網路癱瘓。再者,技術的發展與疫情的爆發,伴隨的是網路使用習慣或基礎架構的轉變,例如雲端服務、BYOD或是居家辦公等。在這些轉變下,內部網路存在的設備已不像以前那麼單純,過往的安全架構未必仍可達到足夠的防護。
基於上述的問題,零信任便是為了解決這些問題而發展的一個概念。單從字面上來看,或許能猜出它的大意,但所謂的「信任」指的又是什麼?在前面所描述的情境,內部資料遭受竊取的首要條件是內部網路其中一台設備被入侵,但為何僅僅一台設備被入侵就能取得整個內部的資料?就是因為內部其他的服務「信任」這台被入侵的設備,而沒有做任何驗證或限制,導致駭客可隨心所欲,想去哪就去哪。因此,零信任便是提倡即使在內部網路中,也不輕易信任任何設備,需要先經過一些驗證才可存取或提供資料。如此一來,就算有惡意人士可以入侵企業的內部網路,想存取其他的服務或設備也會變得更加困難,進而降低影響的範圍與損失。
前兩段我們說明了零信任想解決的問題與它的概念,而到底要做哪些事才能邁向零信任?NIST在2020年8月發佈SP 800-207標準文件,內容針對零信任架構進行說明,並提供導入零信任架構的建議步驟。其中第一步即為「評估」,應先針對企業資產、資料流、系統、人員、工作流程等細節進行盤點調查。在完整了解組織的營運狀況後,便可擬定適當的零信任架構調整計畫或政策方針,接下來則包含風險評估與政策發展、佈署與作業。
By Mike
【參考資料】
[1] 【Wired 硬塞】到底什麼叫「零信任」?答案其實取決於你想聽到什麼,https://www.inside.com.tw/article/24908-what-is-zero-trust,2021-09-22
[2] 【搞懂零信任,從理解NIST SP 800-207著手】打造以零信任原則的企業網路安全環境,https://www.ithome.com.tw/news/145709,2021-07-21
[3] Zero Trust Architecture https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf, 2020-08