| 蔡昱宏/東海大學資訊管理學系 |
零信任的概念:
傳統的網路安全模型建立「信任」的基礎上,假設內部網路中的使用者、設備和系統是可信任的,它通常使用防火牆和虛擬私有網路(virtual private network,VPN)等安全措施,來保護內部網路免受外部威脅的侵害。然而,這種模型無法應對內部威脅、進階持續性威脅[1](Advanced Persistent Threat, APT)和資料外洩等問題。零信任網路安全則提倡對任何資料存取皆永不信任且必須驗證的原則,不論在何時何地存取資料皆保證一致安全性之相關技術。
零信任的核心原則是「驗證」和「授權」。它要求在每次存取或操作時都要驗證使用者的身份和權限,並根據這些驗證結果來限制資源的存取。這樣可以最大程度地降低攻擊者在網路內部活動的能力,即使是已認證的用戶也只能存取他們真正需要的資源。[2]
何謂零信任網路安全:
零信任網路安全是一種以身份驗證、存取授權和資源分類為基礎的網路安全框架。它透過不斷的驗證和授權,確保只有經過驗證的用戶才能夠存取特定的資源,無論他們身在何處或使用何種裝置。零信任網路安全的架構包括:
- 多因素身份驗證(Multi-factor authentication,MFA)[3]:
「多因素(multi-factors)驗證,並不等於多重(multi-steps)驗證」,多重驗證是分不同步驟,用不同方式一步步破解,「就像為防止小偷,房屋周圍先加上圍籬,圍籬上再通電。小偷通過圍籬後還要破解門鎖,全部通過後才能入內。」多因子驗證,「則好比要解開一道上面有很多開關的門鎖,必需在一個動作中,同時打開所有開關才能進入」。
「多重驗證的安全性沒有多因素驗證高」,多重驗證是「一層層如何防護、破解,駭客都知道」,而多因素驗證模式為系統後台運作,駭客不得而知。因此,各界建議「多因素身份認證」模式較佳。
- 單一登入(Single Sign-On,SSO)[4]:
單一登入 (SSO) 是一種重要的雲端安全技術,將多個不同的應用程式登入介面合為一體的技術。使用SSO,使用者只需在單個頁面上輸入一次登入認證(使用者名稱、密碼等)即可存取其所有SaaS 應用程式。
- 特權存取管理[5]:
在企業環境內,「特權存取」是指超出標準用戶權限之特殊存取權限或資格。特權存取可讓組織保護其基礎結構及應用程式,高效率經營業務並維持敏感資料與關鍵基礎設施的機密性。
- 資料分類
資料應依照重要性與機密性考量決定資料是否可以存取,若是可以存取也需規範資料的加密權限。因此須對不同的資料進行分類,依照分類結果進行不同權限的機密,才能最大程度保障資料的安全性。
零信任網路安全政策優缺點:
零信任網路安全模型帶來了許多優點,但也存在一些挑戰。首先,它可以提高網路安全性,將內部和外部的威脅都納入考量,降低了內部威脅和資料外洩的風險。此外,零信任模型可提供更精細的存取權限控制,能夠根據用戶的身份和需求進行限制,並增加資料的權限,對資料的監控和日誌記錄。
然而,實施零信任網路安全模型也面臨一些挑戰。其中一個是複雜性和成本問題,尤其對於大型組織來說。實施零信任需要投入大量的資源和技術,包括身份驗證和存取權限控制的整合,以及相關的監控和分析工具。此外,由於需要不斷驗證和授權,相較於傳統型態,對使用者體驗也會造成不便。
結語
零信任網路安全是一種新興的安全模型,旨在解決傳統網路安全方法的缺陷。它強調保持懷疑的態度,並通過驗證和授權來限制資源存取。雖然實施零信任模型存在一些挑戰,但它能夠提供更高的安全性和可見性,同時降低內部和外部威脅的風險。在不斷變化的資訊安全威脅下,零信任網路安全模型為企業和個人提供了一種更可靠和有效的保護機制。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
參考資料:
[1] 趨勢科技 TrendMicro(2019). 什麼是 APT 攻擊/進階持續性威脅 (Advanced Persistent Threat, APT. 檢自:https://blog.trendmicro.com.tw/?p=123(June 13, 2023)
[2] 自由系統技術專欄(2023). 永不信任,一律驗證:零信任(Zero Trust)概念與實作指引。檢自:https://www.freedom.net.tw/tech-blog/zero-trust-guideline.html(June 31, 2023)
[3] 資安人編輯部(2021). 新世代身份認證思維:多因素、持續性驗證、用戶決定 檢自:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9150(June 7, 2023)
[4] Cloudflare 什麼是 SSO?單點登入如何運作 檢自:https://www.cloudflare.com/zh-tw/learning/access-management/what-is-sso/(June 7, 2023)
[5]Cyberark 特權存取管理(PAM)檢自:https://www.cyberark.com/zh-hant/what-is/privileged-access-management/(June 7, 2023)
