美國國安局(NSA)在2021年2月發布「擁抱零信任安全模型」的技術指引。

近年來,在網路安全的觀念上,零信任是越來越熱門,不僅資安專家、廠商都在提倡,在2020年8月,美國國家標準暨技術研究院(NIST)發布了SP 800-207標準文件,不只是成為美國政府所需的零信任原則網路安全架構,在國際上,也成為企業組織實踐零信任的重要參考。

這股零信任的浪潮已經開始,並且持續發酵,在2020年10月,美國NIST旗下國家網絡安全卓越中心(NCCoE)也預告,將推出相關SP 1800系列指引,幫助當地企業落實零信任。

不僅如此,到了2021年2月,美國國安局(NSA)發布了「擁抱零信任安全模型」的技術指引,同年5月,美國國防部國防資訊系統局(DISA)也宣布,將推出零信任參考架構

顯然,隨著零信任架構的發展到了全新階段,不只是資安業界提倡,如今,更是已經成為國家層級都相當看重的網路安全新策略。

而這股應用零信任的風潮,現在也正吹向臺灣。其實在前兩三年,我們就已看到不少廠商打出零信任的大旗,提倡新的網路安全觀念,但在國內仍是少見且新鮮的議題,特別的是,在2021臺灣資安大會上,許多講者都開始探討或提及零信任。

在這樣的趨勢之下,零信任已成網路安全防護的新焦點,加上2020年全球疫情持續至今,使得遠端工作議題重新被思考,臺灣在2021年也深受其影響,因此,對於零信任這樣的網路安全趨勢,勢必成為臺灣企業與組織,都值得參考與重視的資安思維。

零信任網路安全的發展,已歷經10年的研究

關於零信任的網路安全戰略,這股資安防護趨勢其實醞釀已久,到了最近幾年,才成為熱門焦點。

事實上,隨著BYOD與雲端服務的興起,以及遠端存取等需求,許多年前,已經開始讓企業的網路環境有所變化,傳統單純以「內」、「外」來區隔的企業防護,已經逐漸被打破而成為備受關注的議題,更深一層來看,其實,在這樣的態勢之下,已經逐漸促使企業網路內外的邊界消失。而2020年後疫情影響下的大規模實施居家辦公,以及近年推動的數位轉型工程,再次讓企業積極評估相關風險,並驅動著零信任網路架構的持續發展。

然而,儘管ZTA概念持續發展,在這10多年來逐漸成形,但還是有很多人對於ZTA的認知,僅有模糊的概念,而且,到底零信任本身的發展是否達到成熟的程度?可能還是許多人的疑問。

簡單來說,自從2003年在Jericho論壇,開始有跨國工作小組探討網路邊界消弭(De-perimeterisation)的議題,到了2010年,有了較為具體的零信任概念浮上檯面,因為時任Forrester Research首席分析師John Kindervag,在此時提出零信任模型(Zero Trust Model),這些都帶動了零信任網路安全策略的發展。

Google實踐與推動經驗帶動潮流

不過,要將零信任網路安全架構化為可能,還是需要實踐,在2014年,Google釋出了一份名為BeyondCorp的文件,成為焦點。

根據Google說明,當時幾乎每家公司都使用防火牆來強化企業邊界的安全,然而,這種安全模型是有問題的,因為當邊界被破壞時,對攻擊者而言,相對是容易存取公司內部網路。因此,Google在網路安全採取了不同的方法,取消內部網路特權的要求,之後他們並長期推動這項計畫。

Google之所以這麼做,是從他們在2009年遭遇網路攻擊後,開始有了這樣的構想。該起事件,被稱之為極光行動(Operation Aurora),當時該公司的Gmail服務在12月中旬,遭遇了來自中國的APT攻擊,同時還有20家業者也遭受類似的攻擊,包括Adobe、Juniper Networks等。

在上述資安事件後,Google提出了新的內部計畫,目的是希望能了解員工與設備是如何存取內部應用程式,並重新建構自家網路安全架構。

經過五年的醞釀,Google先是在2014年對外正式公開BeyondCorp的架構與存取流程,並在2016年公布他們本身是如何設計與部署。

從Google這七年來的努力來看,也意味著打造零信任網路安全環境,已經不再是空談。

到了最近三到五年,基於零信任的網路安全,呈現高度發展並持續演化的局面。例如,在Google長期推動之下,他們後續又將BeyondCorp實作於Cloud IAP,再將此內部應用轉化為商用服務,於2020年8月宣布推出BeyondCorp Remote Access解決方案,之後又擴大解決方案功能,在2021年1月發表BeyondCorp Enterprise。

事實上,不只是Google投入零信任,這幾年我們看到許多科技與資安業者,都基於零信任概念,持續研究發展網路安全架構或產品。

同時,對於零信任的探討也不曾停歇。例如,在2018年,市調機構Gartner提出他們的看法,指出網路安全應基於風險與信任,做到持續監控、評估、學習與調整,達到精實的信任(Lean Trust),而零信任只是朝向此目標的第一步。

零信任已成美國國家級資安戰略,政府、企業與國防都看重

隨著零信任概念的演進,不只是資安界與科技大廠關切,更是成為國家級資安戰略,美國政府甚至已經採取行動。

由於美國政府倡議採用零信任原則與方法,來保護政府資訊系統與網路,所以,在兩年前,2019年2月,美國NIST及旗下美國國家網絡安全卓越中心(NCCoE),在聯邦政府CIO聯席會(CIO Council)授權下,正式啟動零信任架構(Zero Trust Architecture)計畫。

在2020年8月,NIST正式頒布SP 800-207標準文件,旗下NCCoE也已啟動Implementing a Zero Trust Architecture計畫,並在2020年10月,發布計畫說明文件,預告將藉由自家實驗室提供ZTA導入範例,並推出零信任相關的SP 1800系列實踐指南。

再加上2021年2月,美國國安局(NSA)發布了「擁抱零信任安全模型」的技術指引,解釋採用零信任模型的優點之餘,他們並強烈建議:美國當地的國家安全系統、國防安全網路,以及國防工業的關鍵網路系統,都應該考慮零信任安全模型。後續,美國國防部國防資訊系統局(DISA)也在同年5月宣布,將提供零信任參考架構。

網路安全零信任已然成形

整體而言,持續演進的零信任網路安全架構,到了這兩年來,確實已經變得越來越具體,指出了傳統邊界防護策略的局限──舉例來說,傳統透過VPN讓員工進入內網的作法,一旦VPN帳密或憑證被竊,內網就被輕易突破。

相對地,在零信任概念上,是假設使用者帳戶與裝置都不能信任,因此強調內部網路應該如同外部網路,要有同樣的安全政策。

這種不信任的態度,如同白名單先預設都封鎖的作法,但零信任同時還強調了持續驗證以確保安全,包括藉由充分資料收集與分析,以及利用自動化達到即時決定,做到監控衡量現況與動態調整,以持續地活化整體防禦。

無論如何,網路安全零信任已有長足的發展與推動,決定採用的態度也越來越明顯,特別是在NIST SP 800-207發布之後,這不僅是讓美國政府對於零信任有遵循的依據,並可以讓外界對於日後的相關討論,能更有共識。

從這股零信任的發展潮流來看,對於臺灣企業與組織而言,勢必也成為必須關切的重要議題,最近一年以來,幾乎成為各家廠商與專家都暢談的議題。接下來,我們將介紹SP 800-207零信任架構,同時也找來熟悉這方面的資安專家與業者來解說,幫助大家更進一步理解與認識新世代網路安全策略。

零信任網路安全的五大重要演進歷程

2003、2004年

Jericho論壇開始探討網路邊界消弭(De-perimeterisation)的議題,聚焦無邊界趨勢下的網路安全解決方案

2010年11月

《Build Security Into Your Network's DNA: The Zero Trust Network Architecture》

Forrester Research前副總裁John Kindervag提出零信任(Zero Trust Model)模型,預設不信任任何事物

2014年12月

《BeyondCorp》

Google釋出BeyondCorp文件公開其架構與存取流程,建立信任並持續驗證

2018年12月

《Zero Trust Is an Initial Step on the Roadmap to CARTA》

Gartner提出精確足夠的信任--Lean Trust,以信任與風險為中心,持續動態調整信任評估

2020年8月

《NIST SP 800-207》

美國聯邦倡議採用零信任原則和方法來保護資訊系統與網路,NIST推出SP 800-207標準文件。

 相關報導 


熱門新聞

Advertisement