近年來,在網路安全的觀念上,零信任是越來越熱門,不僅資安專家、廠商都在提倡,在2020年8月,美國國家標準暨技術研究院(NIST)發布了SP 800-207標準文件,不只是成為美國政府所需的零信任原則網路安全架構,在國際上,也成為企業組織實踐零信任的重要參考。
這股零信任的浪潮已經開始,並且持續發酵,在2020年10月,美國NIST旗下國家網路安全卓越中心(NCCoE)也預告,將推出相關SP 1800系列指引,幫助當地企業落實零信任。
不僅如此,到了2021年2月,美國國安局(NSA)發布了「擁抱零信任安全模型」的技術指引,同年5月,美國國防部國防資訊系統局(DISA)也宣布,將推出零信任參考架構。
顯然,隨著零信任架構的發展到了全新階段,不只是資安業界提倡,如今,更是已經成為國家層級都相當看重的網路安全新策略。
而這股應用零信任的風潮,現在也正吹向臺灣。其實在前兩三年,我們就已看到不少廠商打出零信任的大旗,提倡新的網路安全觀念,但在國內仍是少見且新鮮的議題,特別的是,在2021臺灣資安大會上,許多講者都開始探討或提及零信任。
在這樣的趨勢之下,零信任已成網路安全防護的新焦點,加上2020年全球疫情持續至今,使得遠端工作議題重新被思考,臺灣在2021年也深受其影響,因此,對於零信任這樣的網路安全趨勢,勢必成為臺灣企業與組織,都值得參考與重視的資安思維。
零信任網路安全的發展,已歷經10年的研究
關於零信任的網路安全戰略,這股資安防護趨勢其實醞釀已久,到了最近幾年,才成為熱門焦點。
事實上,隨著BYOD與雲端服務的興起,以及遠端存取等需求,許多年前,已經開始讓企業的網路環境有所變化,傳統單純以「內」、「外」來區隔的企業防護,已經逐漸被打破而成為備受關注的議題,更深一層來看,其實,在這樣的態勢之下,已經逐漸促使企業網路內外的邊界消失。而2020年後疫情影響下的大規模實施居家辦公,以及近年推動的數位轉型工程,再次讓企業積極評估相關風險,並驅動著零信任網路架構的持續發展。
然而,儘管ZTA概念持續發展,在這10多年來逐漸成形,但還是有很多人對於ZTA的認知,僅有模糊的概念,而且,到底零信任本身的發展是否達到成熟的程度?可能還是許多人的疑問。
簡單來說,自從2003年在Jericho論壇,開始有跨國工作小組探討網路邊界消弭(De-perimeterisation)的議題,到了2010年,有了較為具體的零信任概念浮上檯面,因為時任Forrester Research首席分析師John Kindervag,在此時提出零信任模型(Zero Trust Model),這些都帶動了零信任網路安全策略的發展。
Google實踐與推動經驗帶動潮流
不過,要將零信任網路安全架構化為可能,還是需要實踐,在2014年,Google釋出了一份名為BeyondCorp的文件,成為焦點。
根據Google說明,當時幾乎每家公司都使用防火牆來強化企業邊界的安全,然而,這種安全模型是有問題的,因為當邊界被破壞時,對攻擊者而言,相對是容易存取公司內部網路。因此,Google在網路安全採取了不同的方法,取消內部網路特權的要求,之後他們並長期推動這項計畫。
Google之所以這麼做,是從他們在2009年遭遇網路攻擊後,開始有了這樣的構想。該起事件,被稱之為極光行動(Operation Aurora),當時該公司的Gmail服務在12月中旬,遭遇了來自中國的APT攻擊,同時還有20家業者也遭受類似的攻擊,包括Adobe、Juniper Networks等。
在上述資安事件後,Google提出了新的內部計畫,目的是希望能了解員工與設備是如何存取內部應用程式,並重新建構自家網路安全架構。
經過五年的醞釀,Google先是在2014年對外正式公開BeyondCorp的架構與存取流程,並在2016年公布他們本身是如何設計與部署。
從Google這七年來的努力來看,也意味著打造零信任網路安全環境,已經不再是空談。
到了最近三到五年,基於零信任的網路安全,呈現高度發展並持續演化的局面。例如,在Google長期推動之下,他們後續又將BeyondCorp實作於Cloud IAP,再將此內部應用轉化為商用服務,於2020年8月宣布推出BeyondCorp Remote Access解決方案,之後又擴大解決方案功能,在2021年1月發表BeyondCorp Enterprise。
事實上,不只是Google投入零信任,這幾年我們看到許多科技與資安業者,都基於零信任概念,持續研究發展網路安全架構或產品。
同時,對於零信任的探討也不曾停歇。例如,在2018年,市調機構Gartner提出他們的看法,指出網路安全應基於風險與信任,做到持續監控、評估、學習與調整,達到精實的信任(Lean Trust),而零信任只是朝向此目標的第一步。
零信任已成美國國家級資安戰略,政府、企業與國防都看重
隨著零信任概念的演進,不只是資安界與科技大廠關切,更是成為國家級資安戰略,美國政府甚至已經採取行動。
由於美國政府倡議採用零信任原則與方法,來保護政府資訊系統與網路,所以,在兩年前,2019年2月,美國NIST及旗下美國國家網絡安全卓越中心(NCCoE),在聯邦政府CIO聯席會(CIO Council)授權下,正式啟動零信任架構(Zero Trust Architecture)計畫。
在2020年8月,NIST正式頒布SP 800-207標準文件,旗下NCCoE也已啟動Implementing a Zero Trust Architecture計畫,並在2020年10月,發布計畫說明文件,預告將藉由自家實驗室提供ZTA導入範例,並推出零信任相關的SP 1800系列實踐指南。
再加上2021年2月,美國國安局(NSA)發布了「擁抱零信任安全模型」的技術指引,解釋採用零信任模型的優點之餘,他們並強烈建議:美國當地的國家安全系統、國防安全網路,以及國防工業的關鍵網路系統,都應該考慮零信任安全模型。後續,美國國防部國防資訊系統局(DISA)也在同年5月宣布,將提供零信任參考架構。
網路安全零信任已然成形
整體而言,持續演進的零信任網路安全架構,到了這兩年來,確實已經變得越來越具體,指出了傳統邊界防護策略的局限──舉例來說,傳統透過VPN讓員工進入內網的作法,一旦VPN帳密或憑證被竊,內網就被輕易突破。
相對地,在零信任概念上,是假設使用者帳戶與裝置都不能信任,因此強調內部網路應該如同外部網路,要有同樣的安全政策。
這種不信任的態度,如同白名單先預設都封鎖的作法,但零信任同時還強調了持續驗證以確保安全,包括藉由充分資料收集與分析,以及利用自動化達到即時決定,做到監控衡量現況與動態調整,以持續地活化整體防禦。
無論如何,網路安全零信任已有長足的發展與推動,決定採用的態度也越來越明顯,特別是在NIST SP 800-207發布之後,這不僅是讓美國政府對於零信任有遵循的依據,並可以讓外界對於日後的相關討論,能更有共識。
從這股零信任的發展潮流來看,對於臺灣企業與組織而言,勢必也成為必須關切的重要議題,最近一年以來,幾乎成為各家廠商與專家都暢談的議題。接下來,我們將介紹SP 800-207零信任架構,同時也找來熟悉這方面的資安專家與業者來解說,幫助大家更進一步理解與認識新世代網路安全策略。
零信任網路安全的五大重要演進歷程
2003、2004年
Jericho論壇開始探討網路邊界消弭(De-perimeterisation)的議題,聚焦無邊界趨勢下的網路安全解決方案
2010年11月
《Build Security Into Your Network's DNA: The Zero Trust Network Architecture》
Forrester Research前副總裁John Kindervag提出零信任(Zero Trust Model)模型,預設不信任任何事物
2014年12月
Google釋出BeyondCorp文件公開其架構與存取流程,建立信任並持續驗證
2018年12月
《Zero Trust Is an Initial Step on the Roadmap to CARTA》
Gartner提出精確足夠的信任--Lean Trust,以信任與風險為中心,持續動態調整信任評估
2020年8月
美國聯邦倡議採用零信任原則和方法來保護資訊系統與網路,NIST推出SP 800-207標準文件。
熱門新聞
2024-09-29
2024-10-02
2024-10-01
2024-10-03
2024-10-04
2024-10-01
2024-10-01